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随 着 计算 机 网 络 的 发 展 ,网 络 的 开放 性 、 共 享 性 随 之 增强 , 互 连 程度 随 之 加 深 。 与 此 同 
时 ,网 络 入 侵 事 件 日 益 增 多 ,网 络 安全 问题 也 相应 日 益 严重 。 许 多 大 学 计算 机 相关 专业 都 开 
设 了 “网 络 安 全 技术 ”课程 ,以 培养 网 络 安 全 方面 的 专业 人 才 。 网 络 安全 是 一 门 涉及 计算 机 
科学 、 网 络 技 术 , 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 等 多 种 学 科 的 综合 性 科学 。 网 络 安全 在 
总 体 上 可 以 分 为 网 络 攻击 技术 和 网 络 防御 技术 两 大 方面 。 

本 书 共 分 为 10 章 。 第 1 章 网 络 安全 概述 ,介绍 网 络 安全 的 基础 知识 ,着 重 介绍 研究 网 络 
安全 的 重要 性 ; 第 2 章 网 络 基础 ,介绍 TCP/IP、 网 络 安全 协议 ; 第 3 章 网 络 攻击 技术 ,介绍 黑 
客 , 并 详细 介绍 黑客 攻击 的 各 种 原理 和 技术 ,为 读者 学 习 防 御 技术 打下 基础 ; 第 4 音 计 算 机 病 
毒 ,着 重 介 绍 计算 机 病毒 及 检测 病毒 的 方法 ; 第 5 章 身 份 认证 与 访问 控制 技术 ,详细 介绍 身份 
认证 ,访问 控制 与 数字 签名 的 原理 及 应 用 ; 第 6 章 防 火 墙 技术 ,详细 介绍 防火 墙 原理 及 类 
型 ; 第 7 童 入 侵 检 测 技 术 , 详 细 介 绍 信 侵 检测 结构 与 类 型 ; 第 8 章 密码 学 ,着 重 介 绍 对 称 密 
码 体制 与 非 对 称 密码 体制 ; 第 9 章 无 线 网 络 安全 ,详细 介绍 无 线 局 域 网 安全 技术 ; 第 10 章 
网 络 安全 方案 设计 ,通过 一 个 网 络 安全 方案 实例 阐述 网 络 安全 方案 设计 方法 。 

本 书 主要 特色 如 下 。 

(1) 配 有 基于 工程 教育 专业 认证 的 教学 大 纲 。 针 对 计算 机 专业 的 工程 教育 专业 认证 要 
求 ,本 书 编写 了 网 络 安全 教学 大 纲 作 为 本 书 的 配置 资料 ,为 计算 机 专业 教师 提供 参考 。 

(2) 配 有 丰富 的 课 后 习题 。 针 对 每 一 章 的 内 容 ,提供 了 填空 题 、 选 择 题 .判断 题 \ 简 答题 
等 题 型 ,并 为 教师 提供 习题 解析 与 参考 答案 ,便于 考试 和 教学 。 

(3) 配 有 思维 导 图 形式 的 每 章 小 结 。 针 对 每 一 章 的 重点 和 难点 内 容 进行 总 结 ,并 以 思 
维 导 图 的 形式 呈现 ,便于 学 生 预 习 和 复习 。 

(4) 配 有 全 部 教学 视频 。 每 一 章 均 有 配套 的 教学 视频 ,便于 学 生 线 上 自学 和 复习 。 

本 书 可 作为 计算 机 、 信 息 安全 等 专业 本 科 生 的 教材 ,也 可 作为 广大 网 络 安全 工程 师 、 网 
络 管理 人 员 和 计算 机 用 户 的 参考 书 。 通 过 学 习 本 书 ,读者 将 掌握 必要 的 网 络 安全 知识 ,并 且 
能 够 利用 这 些 基础 知识 和 相应 的 安全 防护 工具 来 保护 系统 。 

本 书 第 1 一 4.7、8 章 由 廉 龙 颖 编写 ,第 5.6 章 由 游 海 晖 编写 ,第 9、10 章 由 武 狄 编写 。 本 
书 在 编写 过 程 中 参阅 了 大 量 文献 ,无 法 一 一 列举 ,在 此 一 并 向 相关 作者 表示 衷心 的 感谢 。 

网 络 安全 学 科 内 容 广泛 ,发展 迅速 。 巾 于 编者 水 平 有 限 ,编写 时 难免 有 下 漏 和 不 足 , 对 
书 中 存在 的 问题 ,殷切 希望 广大 读者 批评 指正 。 
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第 1 章 网 络 安全 概述 


【本 章 学 习 目标 】 

。 了解 网 络 安全 的 定义 

*。 掌握 网 络 安全 的 三 大 属性 
。 了 解 网 络 安全 面临 的 威胁 
。 掌握 网 络 安全 的 层次 体系 

* 掌握 网 络 安全 模型 

。 了 解 网 络 安全 评估 标准 

。 了解 网 络 安全 相关 法 律 法 规 


网 络 安全 是 一 门 涉及 计算 机 科学 网络 技术 、 通 信 技 术 、 密 码 技术 .信息 安 全 技术 .应 用 
数学 ,数论 .信息论 等 多 种 学 科 的 综合 性 科学 。 随 着 21 世纪 信息 技术 的 快速 发 展 和 广泛 应 
用 ,信息 资源 共享 给 人 们 的 工作 和 生活 带 来 了 极 大 的 便利 ,与 此 同时 ,网 络 安全 问题 日 益 


突显 。 


1.1 网 络 安全 概念 


1.1.1 安全 定义 


在 信息 革命 的 演进 过 程 中 ,传统 互联 网 移动 互联 网 、 物 联网 快速 发 展 起 来 ,成 为 继 陆 、 
海 、 空 ,天 之 后 的 第 五 大 空间 ,被 称 为 网 络 空 间 。 在 网 络 空间 里 ,信息 安全 问题 的 内 涵 和 外 延 
也 在 不 断 扩大 ,最 终 扩大 到 了 整个 网 络 空间 。 

1. 信息 安全 

目前 ,国内 外 对 信息 安全 尚 无 统一 确切 的 定义 。 国 际 标准 化 组 织 (ISO) 提 出 信息 安全 
(Information Security) 的 定义 是 : 为 数据 处 理 系 统 建 立 和 采取 的 技术 及 管理 保护 ,保护 计 
算 机 硬件 、 软 件数 据 不 因 偶然 及 恶意 的 原因 而 遭 到 破坏 .更 改 和 泄露 。 

《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 将 信息 安全 定义 为 : 计算 机 信息 系 
统 的 安全 保护 ,应当 保障 计算 机 及 其 相关 的 配套 设备 .设施 ( 含 网 络 ) 的 安全 及 运行 环境 的 安 
全 ,保障 信息 的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计算 机 信息 系统 安全 运行 。 其 主 
要 功能 为 防止 信息 被 非 授 权 泄 露 . 更 改 、 破 坏 或 使 信息 被 非法 的 系统 辨识 与 控制 ,确保 信息 
的 完整 性 ,保密 性 、 可 用 性 。 


2. 网 络 安全 

在 计算 机 网 络 产生 之 前 ,网 络 安全 (Network Security) 主要 是 指 通信 安全 ,重点 关注 的 
是 信息 加 密 。 计 算 机 网 络 产生 后 ,网 络 安全 中 的 网 络 主要 是 指 计 算 机 网 络 ,网 络 安全 是 指 保 
护 计算 机 网 络 不 因 偶然 及 恶意 因素 的 影响 而 遭 到 破坏 、 更 改 \ 汇 露 , 保 障 计算 机 系统 连续 、 可 
靠 、 正 常 地 运行 ,保障 网 络 服务 不 中 断 。 

ITU-T X. 800 标准 对 网 络 安全 进行 了 人 逻辑 上 的 定义 ,具体 内 容 如 下 。 

(1) 安全 攻击 (Security Attack): 指 损 害 机 构 所 拥有 信息 的 安全 的 任何 行为 。 

(2) 安全 机 制 (Security Mechanism) : 指 设计 用 于 检测 、 预 防 安全 攻击 或 者 恢复 系统 的 
机 制 。 

(3) 安全 服务 (Security Service) : 指 采用 一 种 或 多 种 安全 机 制 以 抵御 安全 攻击 .提高 机 
构 的 数据 处 理 系统 安全 和 信息 传输 安全 的 服务 。 

随 着 “三 网 融合 ”的 发 展 , 网 络 安全 领域 也 从 计算 机 网 络 延伸 到 物 联网 和 有 线 电视 网 络 。 
近年 来 ,网 络 安全 进一步 向 物理 世界 和 虚拟 世界 延伸 ,包括 与 国家 基础 设施 密切 相关 的 工业 
控制 网 络 或 系统 (如 电力 系统 、 交 通 系 统 等 ) .虚拟 的 社交 网 络 等 ,网 络 安全 上 升 到 了 网 络 空 
间 安 全 。 

3. 网 络 空间 安全 

网 络 空间 安全 (Cyberspace Security) 研 究 网 络 空间 中 的 安全 威胁 和 防护 问题 , 即 在 有 
敌手 的 对 抗 环境 中 ,研究 信息 在 产生 ,传输 ,存储 处理 的 各 个 环节 中 所 面临 的 威胁 和 防御 措 
施 以 及 网 络 和 系统 本 身 的 威胁 和 防护 机 制 。 

信息 安全 ,网络 安全 与 网 络 空间 安全 之 间 存 在 异同 。 信 息 安 全 使 用 范围 比较 广 ,包括 线 
下 和 线 上 的 信息 安全 , 既 可 以 指 传统 的 信息 系统 安全 ,也 可 以 指 网 络 安全 或 网 络 空间 安全 ， 
但 无 法 完全 替代 网 络 安全 与 网 络 空间 安全 的 内 涵 ; 网 络 安全 、 网 络 空 间 安 全 的 核心 都 是 信 
息 安全 问题 ,只 是 出 发 点 和 侧重 点 有 所 不 同 。 网 络 安全 可 以 指 信息 安全 或 网 络 空间 安全 , 侧 
重点 是 线 上 安全 和 网 络 社会 安全 ; 网 络 空间 安全 可 以 指 信息 安全 或 网 络 安全 ,但 侧重 点 是 
与 陆海空 .天 并 列 的 空间 概念 。 


1.1.2 网 络 安全 属性 


网 络 安全 具有 保密 性 、 完 整 性 和 可 用 性 三 个 基本 属性 。 

1. 保密 性 

保密 性 是 指 保证 信息 与 信息 系统 不 被 非 授权 者 所 获取 与 使 用 ,其 主要 防范 措施 是 密码 
技术 。 从 技术 层面 上 讲 ,任何 传输 线路 ,包括 电缆 ( 双 绞 线 或 同 轴 电 缆 ) 光缆 、 微 波 和 卫星 ， 
都 可 能 被 窃听 。 是 否 提供 保密 性 安全 服务 取决 于 如 下 若干 因素 。 

(1) 需 保护 数据 的 位 置 : 数据 可 能 存放 在 个 人 计算 机 或 服务 器 .局域网 的 线路 上 ,或 其 
他 流通 介质 如 U 盘 、 光 盘 等 ,也 可 能 流 经 一 个 完全 公开 的 媒体 ,如 经 过 互联 网 或 通信 卫星 。 

(2) 需 保护 数据 的 类 型 : 数据 单元 可 以 是 本 地 文件 和 网 络 协议 所 携带 的 数据 和 网 络 协 
议 的 信息 交换 ,如 一 个 协议 数据 单元 。 

(3) 需 保护 数据 的 数量 或 部 分 : 保护 整个 数据 单元 .部 分 数据 单元 和 协议 数据 单元 。 

(4) 需 保 护 数据 的 价值 : 被 保护 数据 的 敏感 性 ,以 及 数据 对 用 户 的 价值 。 


2 完整 性 

完整 性 是 指 信息 是 真实 可 信和 的 ,其 发 布 者 不 被 冒充 ,来 源 不 被 伪造 ,内 容 不 被 自 改 ,其 主 
要 防范 措施 是 校 验 与 认证 技术 。 

破坏 信息 的 完整 性 既 有 人 为 因素 ,也 有 非 人 为 因素 。 人 为 因素 包括 有 意 和 无 意 两 种 ,前 
者 是 非法 分 子 对 计算 机 进行 人 侵 , 合 法 用 户 越权 对 数据 进行 处 理 , 以 及 隐藏 破坏 性 程序 ,如 
计算 机 病毒 、 时 间 炸 弹 和 逻辑 陷阱 等 ; 后 者 是 指 操作 失误 或 使 用 不 当 。 非 人 为 因素 是 指 通 
信 传 输 中 的 干扰 噪声 .系统 硬件 或 软件 的 差错 等 。 

3. 可 用 性 

可 用 性 是 指 保 证 信息 与 信息 系统 可 被 授权 人 正常 使 用 ,其 主要 范 措施 是 确保 信息 与 信 
息 系统 处 于 一 个 可 靠 的 运行 状态 之 下 。 

网 络 可 用 性 还 包括 在 某 些 不 正常 条 件 下 继续 运行 的 能 力 。 对 网 络 可 用 性 的 破坏 ,包括 
使 合法 用 户 不 能 正常 访问 资源 和 使 严格 要 求 时 间 的 服务 不 能 得 到 及 时 响应 。 影 响 网 络 可 用 
性 的 因素 包括 人 为 与 非 人 为 两 种 。 前 者 是 指 非法 占用 网 络 资源 ,切断 或 阻塞 网 络 通信 ,降低 网 
络 性 能 ,甚至 使 网 络 瘫痪 等 ; 后 者 是 指 灾害 事故 ( 火 、 水 .雷击 等 ) 和 系统 死 锁 、 系 统 故障 等 。 


1.1.3 保障 网 络 安 全 的 三 大 支柱 


网 络 安 全 不 仅 是 一 个 纯 技 术 问 题 , 单 凭 技术 因素 确保 网 络 安全 是 不 可 能 的 。 保 障 网 络 
安全 无 论 对 国家 而 言 还 是 对 组 织 而 言 都 是 一 个 复杂 的 系统 工程 ,需要 多 管 齐 下 ,综合 治理 。 
目前 普遍 认为 网 络 安全 技术 、 网 络 安 全 法 律 法 规 和 网 络 安全 标准 是 保障 网 络 安全 的 三 大 支柱 。 

1. 网 络 安全 技术 

各 种 网 络 安全 技术 的 应 用 主要 在 技术 层面 上 为 网 络 安全 提供 具体 的 保障 。 目 前 主要 采 
用 的 网 络 安全 技术 有 网 络 安 全 扫描 技术 数据 加 密 技术 防火墙 技 术 、 入 侵 检 测 技术 、 病 毒 诊 
断 与 防治 技术 等 。 尽 管 网 络 安全 技术 的 应 用 在 一 定 程度 上 对 网 络 的 安全 起 到 了 很 好 的 保护 
作用 ,但 它 并 不 是 万 能 的 ,由 于 管理 玖 忽 等 原因 而 引起 的 网 络 安全 事故 仍然 不 断 发 生 。 

2. 网 络 安全 法 律 法 规 

国家 、 地 方 以 及 相关 部 门 针对 网 络 安全 的 需求 ,制定 有 关 网 络 安全 的 法 律 法 规 ,从 法 律 
层面 规范 人 们 的 行为 ,使 网 络 安全 工作 有 法 可 依 ,使 相关 违法 犯罪 行为 得 到 处 罚 , 促 使 组 织 
和 个 人 依法 制作 ,发 布 .传播 和 使 用 网 络 , 从 而 达到 保障 网 络 安全 的 目的 。 目 前 ,我 国 已 建立 
起 了 基本 的 网 络 安全 法 律 法 规 体 系 , 但 随 着 网 络 安全 形势 的 发 展 , 网 络 安全 立法 的 任务 依然 
非常 艰巨 ,许多 相关 法 律 法 规 还 有 待 建立 或 进一步 完善 。 

3. 网 络 安全 标准 

建立 统一 的 网 络 安全 标准 ,其 目的 是 为 网 络 安全 产品 的 制造 ,网 络 安全 信息 系统 的 构 
建 ,企业 或 组 织 安 全 策略 的 制定 安全 管理 体系 的 构建 以 及 安全 工作 评估 等 提供 统一 的 科学 
依据 。 随 着 网 络 技 术 的 不 断 发 展 和 网 络 安全 形势 的 变化 ,不 但 网 络 安全 标准 的 数量 在 不 断 
增加 ,而 且 许多 标准 的 版 本 也 在 不 断 更 新 。 


1.1.4 网 络 安全 威胁 


自 1994 年 我 国正 式 接 人 互联 网 (Internet) 以 来 ,中 国 互联 网 的 规模 迅速 扩大 ,应 用 迅速 
发 展 。 从 中 国 互联 网 络 信息 中 心 CCNNIC 发 布 的 第 44 次 《中国 互联 网 络 发 展 状况 统计 报 
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坤 一 沽 


告 ) 中 可 获悉 : 截至 2019 年 6 月 30 日 .我国 网 民 数量 达 8. 54 亿 , 互 联网 普及 率 为 61. 2%。 
随 着 我 国 网 络 覆 盖 范 围 显著 扩大 、 连 接 速度 不 断 提升 .使 用 费用 持续 降低 ,互联 网 与 各 产业 
的 融合 程度 进一步 加 深 。 互 联网 的 基础 资源 保有 量 稳 中 有 升 ,资源 应 用 保持 增长 态势 。 然 
而 ,目前 互联 网 安全 状况 不 容 乐 观 ,各 种 网 络 安全 事件 与 2018 年 同期 相 比 有 明显 增加 。 国 
家 计算 机 网 络 应 急 技术 处 理 协调 中 心 (CNCERT) 在 42018 年 中 国 互联 网 网 络 安全 报告 ) 中 
指出 ,2018 年 我 国境 内 感染 计算 机 恶意 程序 的 主机 数量 约 655 万 台 , 通 过 自主 捕获 和 厂商 
交换 获得 的 移动 互联 网 恶意 程序 数量 超过 283 万 个 ,同比 增长 11. 7%。 了 解 网 络 面临 的 各 
种 威胁 ,防范 和 消除 这 些 威胁 ,实现 真正 的 网 络 安全 ,已 经 成 为 网 络 发 展 中 最 重要 的 事情 。 

所 谓 安全 威胁 ,是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 保密 性 、 完 整 性 或 可 用 性 所 造 
成 的 危险 。 网 络 安全 威胁 主要 来 自 于 以 下 4 个 方面 。 

1. 网 络 的 缺陷 

因特网 的 共享 性 和 开放 性 使 网 络 上 信息 安全 存在 先天 不 足 , 因 为 其 赖 以 生存 的 TCP/ 
IP 协议 族 缺 乏 相 应 的 安全 机 制 ,所 以 因特网 最 初 的 设计 考虑 的 是 该 网 不 会 因 局 部 故障 而 影 
响 信息 的 传输 ,基本 没有 考虑 安全 问题 ,因此 它 在 安全 可 靠 、 服 务 质量 ,带宽 和 方便 性 等 方面 
存在 着 不 适应 性 。 

2. 软件 的 漏洞 

随 着 软件 系统 规模 的 不 断 增 大 ,系统 中 的 安全 漏洞 或 “后 门 ? 也 不 可 避免 地 存在 ,比如 我 
们 常用 的 操作 系统 ,无 论 是 Windows 还 是 UNIX 几乎 都 存在 或 多 或 少 的 安全 漏洞 ,众多 服 
务 器 、 浏 览 器 ,桌面 软件 都 被 发 现存 在 各 种 安全 隐患 。 

3. 黑客 的 攻击 

对 于 大 家 来 说 ,黑客 不 再 是 一 个 高 深 莫 测 的 群体 ,黑客 技术 逐渐 被 越 来 越 多 的 人 掌握 和 
发 展 。 目 前 , 据 不 完全 统计 ,世界 上 有 30 多 万 个 黑客 网 站 ,这 些 站 点 都 会 介绍 一 些 攻击 方法 
和 攻击 软件 的 使 用 以 及 系统 漏洞 ,因而 系统 .站 点 遭受 攻击 的 可 能 性 就 变 大 了 。 尤 其 是 现在 
还 缺乏 针对 网 络 犯罪 点 有 成 效 的 反击 和 跟踪 手段 .导致 黑客 攻击 的 隐藏 性 强 , 破 坏 力 大 ,这 
是 网 络 安全 的 主要 威胁 。 

4. 管理 的 欠缺 

网 络 系统 的 严格 管理 是 企业 、 机 构 及 个 人 用 户 免 受 攻击 的 重要 措施 。 事 实 上 ,很 多 企 
业 、 机 构 及 个 人 用 户 的 网 站 或 系统 都 疏 于 这 方面 的 管理 。 据 IT 界 企 业 团 体 ITAA 的 调查 
显示 ,美国 90% 的 IT 企业 对 黑客 攻击 防备 不 足 。 

网 络 安全 面临 的 主要 威胁 类 型 及 情况 描述 如 表 1-1 所 示 。 


表 1-1 网 络 安全 的 主要 威胁 类 型 及 描述 


威胁 类 型 情况 描述 

网 络 窃听 网 络 传输 信息 被 窃听 

窃取 资源 盗 取 系 统 重要 的 软件 .硬件 .信息 和 资料 等 资源 

论 传 信息 攻击 者 获得 某 些 信息 后 ,发 送 给 他 人 

伪造 信息 攻击 者 将 伪造 的 信息 发 送 给 他 人 

算 改 发 送 攻击 者 对 合法 用 户 之 间 的 通信 信息 纂 改 后 ,发 送 给 他 人 
非 所 有 权 访 问 通过 口令 .密码 和 系统 漏洞 等 手段 获取 系统 访问 权 


截获 /修改 网 络 系统 传输 中 数据 被 截获 删除 、 修 改 、 蔡 换 或 破坏 


续 表 


威胁 类 型 情况 描述 
拒绝 服务 攻击 攻击 者 以 某 种 方式 使 系统 响应 减 慢 甚至 瘫痪 ,使 网 络 难以 正常 服务 
行为 否认 通信 实体 否认 已 经 发 生 的 行为 
旁 路 控制 攻击 者 发 掘 系统 的 缺陷 或 安全 脆弱 性 
人 为 朴 忽 已 授权 用 户 为 了 利益 或 由 于 粗心 将 信息 泄露 给 未 授权 用 户 
信息 泄露 信息 被 泄露 或 暴露 给 非 授 权 用 户 
物理 破坏 通过 计算 机 及 其 网 络 或 部 件 进行 破坏 ,或 绕 过 物理 控制 非法 访问 
病毒 木马 利用 计算 机 病毒 或 木马 等 恶意 软件 进行 破坏 或 恶意 控制 他 人 系统 
服务 欺骗 欺骗 合法 用 户 或 系统 ,骗取 他 人 信任 以 便 谋 取 私利 
设置 陷阱 设置 陷阱 系统 或 部 件 , 骗 取 特 定数 据 以 违反 安全 策略 
资源 耗 尽 故意 超 负荷 使 用 某 一 资源 ,导致 其 他 用 户 服务 中 断 
消息 重 发 重 发 某 次 截获 的 备份 合法 数据 ,达到 信任 非法 侵权 目的 
冒名 顶替 假冒 他 人 或 系统 用 户 进行 活动 
媒体 废弃 物 利用 媒体 废弃 物 得 到 可 利用 信息 .以 便 非法 使 用 
网 络 信息 战 为 国家 或 集团 利益 ,通过 信息 战 进行 网 络 破坏 或 枣 怖 袭击 


1.2 网 络 安全 体系 结构 


学 习 掌 握 网 络 安 全 体系 结构 ,可 以 更 好 地 理解 网 络 安 全 相关 的 各 种 体系 、 结 构 .关系 和 


构成 要 素 等 。 


1.2.1 网 络 安全 攻防 体系 
网 络 安全 的 研究 内 容 主要 分 成 两 大 体系 : 攻击 和 防御 。 网 络 安全 攻防 体系 研究 的 内 容 


如 图 1-1 所 示 。 


网 络 安全 攻防 体系 
| ] 
攻击 技术 防御 技术 
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网 络 扫描 访问 控制 技术 
网 络 监听 防火 墙 技术 
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作为 研究 网 络 安全 技术 的 基础 ,首先 要 掌握 一 些 网 络 基础 知识 : 第 一 ,两 大 主流 操作 系 
统 , 即 UNIX 和 Windows 操作 系统 ; 第 二 ,常用 的 网 络 安全 协议 ,包括 IP、TCP、UDP、ARP 
等 ; 第 三 ,常用 的 网 络 命令 ,如 ping、telnet 等 。 

1. 攻击 技术 

俗语 称 “ 知 已 知 彼 , 百 战 不 殖 ”, 要 想 掌握 网 络 安全 防御 技术 ,首先 要 掌握 各 种 攻击 技术 ， 
主要 攻击 技术 包括 隐藏 IP、 网 络 扫描 、 网 络 监听 、 网 络 入 侵 、 网 络 后 门 、 网 络 隐 身 以 及 计算 机 
病毒 等 。 

(1) 隐藏 IP: 入 侵 者 在 入 侵 目 标 计算 机 之 前 首先 利用 各 种 技术 来 隐藏 自己 的 IP 地 址 。 

(2) 网 络 扫描 : 利用 软件 去 扫描 目标 计算 机 的 操作 系统 、 开 放 的 端口 和 漏洞 ,为 入 侵 该 
计算 机 做 准备 。 

(3) 网 络 监听 : 入 侵 者 不 主动 去 攻击 目标 计算 机 ,而 是 在 计算 机 中 利用 程序 去 监听 目 
标 计算 机 与 其 他 计算 机 之 间 的 通信 。 

(4) 网 络 人 侵 : 入 侵 者 利用 各 种 攻击 技术 入 侵 到 目标 计算 机 中 ,获取 信息 或 者 破坏 目 
标 计算 机 。 

(5) 网 络 后 门 : 入 侵 者 成 功 入 侵 到 目标 计算 机 后 ,会 在 目标 计算 机 中 种 植 后 门 程序 ,对 
目标 计算 机 进行 长 期 控制 。 

(6) 网 络 隐身 : 入 侵 完毕 后 ,为 了 防止 被 管理 员 发 现 , 入 侵 者 会 清除 人 侵 痕 迹 。 

(7) 计算 机 病毒 : 入 侵 者 利用 计算 机 病毒 可 以 破坏 计算 机 系统 ,影响 网 络 运 行 。 

2 防御 技术 

防御 技术 主要 包括 身份 认证 与 访问 控制 技术 .防火墙 技术 .和 人 侵 检 测 技术 以 及 密码 学 。 

(1) 身份 认证 与 访问 控制 技术 : 身份 认证 可 以 确保 用 户 身份 的 真实 性 、 合 法 性 和 唯一 
性 ; 访问 控制 是 针对 越权 使 用 资源 的 防御 措施 。 

(2) 防火 墙 技 术 : 利用 防火 墙 ,对 数据 包 进 行 限制 ,防止 被 入 侵 。 

(3) 入 侵 检测 技术 : 网 络 一 旦 被 人 侵 , 利 用 入 侵 检测 技术 可 以 及 时 发 出 警报 。 

(4) 密码 学 : 为 了 防止 被 监听 和 数据 被 窃取 ,可 以 利用 各 种 适当 的 加 密 技 术 对 敏感 数 
据 进行 加 密 。 


1.2.2 网 络 安全 层次 体系 


可 以 从 网 络 安全 层次 体系 上 将 网 络 安全 细 分 成 5 个 层次 的 安全 ,包括 物理 层 安全 、 网 络 
层 安 全 、 系 统 层 安全 、 应 用 层 安全 和 管理 层 安 全 ,如 图 1-2 


管理 层 安全 所 示 。 不 同安 全 层次 反映 了 不 同 的 安全 问题 。 
= = 1. 物理 层 安 全 
网 系 应 物理 层 安 全 是 计算 机 网 络 信息 系统 运行 的 基础 , 它 的 
屋 出 安全 直接 影响 整个 网 络 信息 的 安全 。 物 理 层 受到 的 安全 威 
安 安 安 | 胁 主要 包括 自然 灾害 ,设备 自然 损坏 和 环境 干扰 等 。 物 理 
四 二 全 | 层 安全 技术 主要 包括 环境 安全 技术 、 硬 件 访问 控制 技术 及 
|。 防 电磁 泄露 技术 等 。 

物理 层 安 全 (1) 环境 安全 技术 。 环 境 安全 指 网 络 设备 所 在 的 物理 


图 1-2 网络 安 全 层次 体系 图 ”环境 的 湿度 、 温 度 及 空气 含 尘 浓度 符合 规定 ,同时 噪声 干 


扰 、 电 磁 干 扰 、 振 动 及 静电 干扰 在 规定 范围 内 。 

(2) 硬件 访问 控制 技术 。 硬 件 访问 控制 技术 是 指 通 过 硬件 功能 防止 用 户 不 通过 访问 控 
制 系统 而 进入 计算 机 系统 ,例如 智能 卡 、 生 物 特征 认证 等 。 

(3) 防 电磁 泄露 技术 。 计 算 机 在 工作 时 会 产生 电磁 发 射 , 电 磁 发 射 可 被 高 灵敏 的 接收 
设备 接收 并 进行 分 析 、 还 原 , 造 成 计算 机 的 信息 泄露 。 目 前 主要 使 用 屏蔽 技术 来 防止 电磁 泄 
露 ,屏蔽 不 但 能 防止 电磁 波 外 泄 ,而 且 还 可 以 防止 外 部 的 电磁 波 对 系统 内 设备 进行 干扰 ,并 
且 在 一 定 条件 下 还 可 以 起 到 防止 “电磁 计算 机 病毒 ”攻击 的 作用 。 

2. 网 络 层 安 全 

网 络 层 安全 主要 指 保证 网 络 资源 不 被 非 授权 用 户 使 用 ,同时 保证 各 种 网 络 资源 的 完整 
性 、 可 信赖 性 以 及 服务 的 可 用 性 等 。 网 络 层面 临 的 安全 威胁 主要 来 自 于 各 种 网 络 攻 击 , 如 
DDos 攻击 等 。 网 络 层 是 非常 适合 提供 基于 主机 对 主机 的 安全 服务 的 。 与 网 络 层 相应 的 安 
全 协议 可 以 用 来 在 因特网 上 建立 安全 的 IP 通道 和 虚拟 私有 网 。 例 如 ,利用 它 对 IP 包 的 加 
密 和 解密 功能 ,可 以 简便 地 强化 防火 墙 系统 的 防卫 能 力 。 

网 络 层 安全 性 的 主要 优点 是 它 具 有 透明 性 , 即 安全 服务 的 提供 不 需要 应 用 程序 .其 他 通 
信和 层次 和 网 络 部 件 做 任何 改动 。 它 的 主要 缺点 是 网 络 层 一 般 对 属于 不 同 进 程 的 包 不 加 以 区 
别 , 对 所 有 发 往 同一 地 址 的 包 , 它 将 按照 同样 的 加 密 密 钥 和 访问 控制 策略 来 处 理 。 这 可 能 导 
致 提供 不 了 所 需 的 功能 ,也 会 导致 性 能 下 降 。 

3. 系统 层 安全 

系统 层 安 全 主要 指 操作 系统 的 安全 。 操 作 系 统 用 于 管理 计算 机 资源 ,控制 整个 系统 的 
运行 , 它 直 接 和 硬件 打交道 ,并 为 用 户 提供 接口 ,是 计算 机 软件 的 基础 。 操 作 系 统 的 安全 是 
整个 计算 机 系统 安全 的 基础 。 系 统 层面 临 的 安全 威胁 主要 来 自 于 用 户 恶意 破坏 系统 资源 和 
系统 的 正常 运行 ,危害 计算 机 系统 的 可 用 性 。 

操作 系统 的 安全 目标 主要 包括 : 

(1) 对 用 户 进 行 身份 鉴别 ; 

(2) 对 用 户 操作 进行 存 取 控制 ; 

(3) 监督 系统 运行 ; 

(4) 保证 系统 自身 的 安全 性 和 完整 性 。 

为 了 实现 操作 系统 的 安全 ,需要 建立 相应 的 安全 机 制 , 包 括 访问 控制 .存储 器 保护 、 用 户 
认证 和 隔离 防护 等 。 

4. 应 用 层 安全 

应 用 层 安全 主要 指 应 用 程序 的 安全 。 应 用 程序 安全 是 指 防 止 应 用 程序 对 支持 其 运行 的 
计算 机 系统 的 安全 进行 破坏 。 应 用 层面 临 的 安全 威胁 主要 来 自 于 恶意 程序 和 应 用 程序 本 身 
的 漏洞 。 为 了 实现 应 用 层 的 安全 ,首先 ,用 户 不 能 安装 恶意 程序 ,例如 病毒 .后 门 程序 木马 
程序 等 ; 其 次 ,编写 应 用 程序 的 程序 员 应 注意 编程 安全 , 养 成 良好 的 编程 习惯 ,尽量 避免 产 
生 安全 漏洞 。 

要 想 区 分 一 个 具体 文件 在 不 同情 况 下 的 安全 性 要 求 ,必须 借助 应 用 层 的 安全 性 。 提 供 
应 用 层 的 安全 服务 在 处 理 单个 文件 安全 性 方面 是 最 灵活 的 手段 。 如 一 个 电子 邮件 系统 可 能 
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需要 对 其 将 发 出 信件 的 个 别 段 落实 施 数字 签名 , 较 低层 的 协议 提供 的 安全 功能 一 般 不 会 知 
道 任何 将 发 出 信件 的 段落 结构 ,从 而 不 可 能 知道 应 该 对 哪 一 部 分 进行 签名 。 只 有 应 用 层 是 
唯一 能 够 提供 这 种 安全 服务 的 层次 。 

5. 管理 层 安全 

管理 层 安全 主要 包括 安全 技术 和 设备 的 管理 ,安全 管理 制度 、 人 员 组 织 规 划 等 。 管 理 的 
制度 化 极 大 程度 地 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 .明确 的 部 门 安全 职责 划 
分 、 合 理 的 人 员 和 角色 配置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


1.2.3 OSI 安全 体系 结构 


OSI 安全 体系 结构 的 研究 始 于 1982 年 OSI 参考 模型 刚刚 确立 时 ,其 成 果 标 志 是 ISO 
发 布 了 ISO 7498-2 标准 ,作为 OSI 参考 模型 的 新 补充 。1990 年 ,ITU 决定 采用 ISO 7498-2 
作为 它 的 X. 800 推荐 标准 ,我国 的 国际 GB/T 9387. 2 一 1995《 信 息 处 理 系统 开放 系统 互 连 
基本 参考 模型 第 2 部 分 : 安全 体系 结构 ?等 同 于 ISO/IEC 7498-2 。 

OSI 安全 体系 结构 不 是 能 实现 的 标准 ,而 是 关于 如 何 设计 标准 的 标准 。 因 此 ,具体 产品 
不 应 称 自己 遵从 这 一 标准 。OSI 安全 体系 结构 定义 了 许多 术语 和 概念 ,还 建立 了 一 些 重要 
的 结构 性 准则 。 它 们 中 有 一 部 分 已 经 过 时 ,仍然 有 用 的 部 分 主要 是 安全 攻击 、 安 全 服务 和 安 
全 机 制 的 定义 。 

(1) 安全 攻击 : 任何 可 能 会 危及 机 构 的 信息 安全 的 行为 。 

(2) 安全 服务 : 用 来 检测 .防范 安全 攻击 并 从 中 恢复 系统 的 机 制 。 

OSI 安全 体系 结构 中 定义 了 5 大 类 安全 服务 ,也 称 为 安全 防护 措施 。 

@ 鉴别 服务 。 提 供 对 通信 中 对 等 实体 和 数据 来 源 的 鉴别 。 对 等 实体 鉴别 针对 实体 本 
身 的 身份 进行 鉴别 ; 数据 来 源 鉴 别 对 数据 项 是 否 来 自 于 某 个 特定 实体 进行 鉴别 。 

@ 访问 控制 服务 。 对 资源 提供 保护 ,以 对 抗 非 授 权 使 用 和 操纵 。 

@ 数据 机 密 性 服务 。 保 护 信 息 不 被 泄漏 或 暴露 给 未 授权 的 实体 。 机 密 性 服务 又 分 为 
数据 机 密 性 服务 和 业务 流 机 密 性 服务 。 数 据 机 密 性 服务 包括 : 连接 机 密 性 服务 ,对 某 个 连 
接 上 传输 的 所 有 数据 进行 加 密 ; 无 连接 机 密 性 服务 ,对 构成 一 个 无 连接 数据 单元 的 所 有 数 
据 进行 加 密 ; 选择 字段 机 密 性 服务 , 仅 对 某 个 数据 单元 中 所 指定 的 字段 进行 加 密 。 业 务 流 
机 密 性 服务 使 攻击 者 很 难 通过 网 络 的 业务 流 来 获得 敏感 信息 。 

@ 数据 完整 性 服务 。 对 数据 提供 保护 ,以 对 抗 未 授权 的 改变 、 删 除 或 替代 。 完 整 性 
服务 有 三 种 类 型 : 连接 完整 性 服务 ,对 连接 上 传输 的 所 有 数据 进行 完整 性 保护 ,确保 收 到 
的 数据 没有 被 插入 、 算 改 . 重 排序 或 延迟 ; 无 连接 完整 性 服务 ,对 无 连接 数据 单元 的 数据 
进行 完整 性 保护 ; 选择 字段 完整 性 服务 ,对 数据 单元 中 所 指定 的 字段 进行 完整 性 保护 。 
完整 性 服务 还 分 为 具有 恢复 功能 和 不 具有 恢复 功能 两 种 类 型 。 仅 能 检测 和 报告 信息 的 
完整 性 是 否 被 破坏 ,而 不 采取 进一步 措施 的 服务 为 不 具有 恢复 功能 的 完整 性 服务 ; 能 检 
测 到 信息 的 完整 性 是 否 被 破坏 .并 能 将 信息 正确 恢复 的 服务 为 具有 恢复 功能 的 完整 性 
服务 。 

@ 抗 抵赖 性 服务 。 指 防止 参与 通信 的 任何 一 方 事后 否认 本 次 通信 或 通信 内 容 。 抗 抵 
赖 性 服务 分 为 两 种 不 同 的 形式 : 数据 原 发 证 明 的 抗 抵 赖 ,使 发 送 者 不 承认 曾经 发 送 过 这 些 
数据 或 否认 其 内 容 的 企图 不 能 得 偿 ; 交付 证 明 的 抗 抵赖 ,使 接收 者 不 承认 曾 收 到 这 些 数据 


或 否认 其 内 容 的 企图 不 能 得 送 。 

表 1-2 给 出 了 网 络 各 层 提供 的 安全 服务 。 
表 1-2 网 络 各 层 提供 的 安全 服务 
网 络 层次 


安全 服务 


物理 层 


数据 
链 路 层 


网 络 层 


传输 层 


话 层 


[3 
汝 
油 


表示 层 


对 等 实体 鉴别 


鉴别 


数据 来 源 鉴 别 


访问 控制 


连接 机 密 性 


数据 
机 密 性 


无 连接 机 密 性 


| 六 太 | 宝 


和 | 和 


选择 字段 机 密 性 


业务 流 机 密 性 


数据 
完整 性 


可 恢复 的 连接 完整 性 


不 可 恢复 的 连接 完整 性 


选择 字段 的 连接 完整 性 


无 连接 完整 性 


选择 字段 的 无 连接 完整 性 


抗 抵赖 性 


数据 原 发 证 明 的 抗 抵赖 


交付 证 明 的 抗 抵赖 


和 | 入 | 夺 | 起 | 和 | 入 | 夸 | 全 | 家 | 全 | 二 | 二 | 志 | 关 。 


(3) 安全 机 制 : 用 来 增强 组 织 的 数据 处 理 系统 安全 性 和 信息 传递 安全 性 的 服务 。 

OSI 安全 体系 结构 没有 详细 说 明 安全 服务 应 该 如 何 来 实现 。 作 为 指南 , 它 给 出 了 一 系 
列 可 用 来 实现 这 些 安全 服务 的 安全 机 制 ,如 表 1-3 所 示 。 其 基本 的 机 制 有 加 密 机 制 ,数字 签 
名 机 制 . 访 问 控制 机 制 、 数 据 完 整 性 机 制 ,鉴别 交换 机 制 .业务 流 填 充 机 制 . 路 由 控制 机 制 和 


公证 机 制 。 
表 1-3 ”安全 服务 与 安全 机 制 的 关系 
安全 机 制 
安全 服务 | 访 抽 i 
加 密 | 数字 | 访问 | 数据 | 监 别 [业务 流 | 路 由 | 人 十 
签名 | 控制 | 完整 性 | 交换 | 填充 | 控制 
点 别 | 等 实 体 鉴 别 区 5 V/ 
数据 来 源 鉴 别 区 
访问 控制 到 
连接 机 密 性 V 于 
数据 | 无 连接 机 密 性 ~ 
机 密 性 | 选择 字段 机 密 性 V 
业务 机 密 性 | 
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续 表 
安全 机 制 
安全 服务 数字 | 访问 
击 壮 数字 | 访问 | 数据 蛙 别 业务 流 EH 公证 
签名 | 控制 | 完整 性 | 交换 | 填充 | 控制 
可 恢复 的 连接 完整 性 NA V 
二 不 可 恢复 的 连接 完整 性 NA V 
完整 性 选择 字段 的 连接 完整 性 V V 
无 连接 完整 性 ~ V V 
选择 字段 的 无 连接 完整 性 | V/ V V 
数据 原 发 证 明 的 抗 抵赖 V V/ NA 
抗 抵赖 性 
交付 证 明 的 抗 抵赖 Vv V NA 


计算 机 网 络 安 全 体系 结构 三 维 图 如 图 1-3 所 示 。 


OSI 参考 模型 4 
7 十 应 用 层 
6 十 表示 层 
5 十 -会话 层 
4 十 传输 层 
3 十 网 络 层 
2 一- 链 路 层 
1 十 物理 层 
鉴别 人 一 
访问 控制 加 数 访 数 鉴 业 路 公 安全 机 制 
数据 机 密 性 密 过 问 据 别 务 由 证 
签 控 完 交 流 控 


各 制约 换 足 抽 
人 性 充 


图 1-3 计算 机 网 络 安 全 体系 结构 三 维 图 


1.3 网络 安 全 评价 


1.3.1 网 络 安全 标准 组 织 


国际 上 信息 安全 标准 化 工作 兴起 于 20 世纪 70 年 代 中 期 ,80 年 代 有 了 较 快 的 发 展 ,90 年 
代 引 起 了 世界 各 国 的 普遍 关注 。 目 前 ,国际 上 与 信息 安全 标准 化 有 关 的 组 织 主要 有 国际 标 
准 化 组 织 (ISO) .国际 电工 委员 会 (IEC) .美国 国家 标准 和 技术 研究 所 (NIST) .国际 电信 联 
盟 (ITU) 和 互联 网 工程 任务 组 (IETF)。 国 内 的 安全 标准 组 织 主 要 有 信息 技术 安全 标准 化 
技术 委员 会 (CITS) 及 中 国 通信 标准 化 协会 (CCSA) 下 的 网 络 与 信息 安全 技术 工作 委员 会 。 

1. 国际 标准 化 组 织 

国际 标准 化 组 织 始 建 于 1946 年 ,是 世界 上 最 大 的 非 政 府 性 标准 化 专门 机 构 , 它 在 国际 
标准 化 中 占有 主导 地 位 。ISO 的 主要 活动 是 制定 国际 标准 ,协调 世界 范围 内 的 标准 化 工作 ， 


组 织 各 成 员 国 和 技术 委员 会 进行 交流 ,以 及 与 其 他 国际 性 组 织 进行 合作 ,共同 研究 有 关 标 准 
问题 。 随 着 人 们 对 安全 的 重视 不 断 加 强 ,世界 各 地 的 许多 企业 ,政府 机 构 和 其 他 组 织 把 获得 
ISO 17799 认证 作为 目标 。ISO 17799 提供 了 一 个 方便 的 框架 以 便 安 全 策略 制定 者 能 够 依 
据 国 际 标准 构建 自己 的 策略 。 

2. 国际 电工 委员 会 

IEC 是 世界 上 成 立 最 早 的 非 政 府 性 国际 电工 标准 化 机 构 , 是 联合 国 经 社 理事 会 
(ECOSOC) 的 甲 级 咨询 组 织 。IEC 在 信息 安全 标准 化 方面 除了 与 ISO 联合 成 立 了 JTC1 分 
委员 会 外 ,还 在 电信 、 电 子 系统 、 信 息 技术 和 电磁 兼容 等 方面 成 立 了 技术 委员 会 ,并 且 制 定 了 
相关 国际 标准 ,如 信息 技术 设备 安全 IEC 60950 等 。 

3. 美国 国家 标准 和 技术 研究 所 

NIST 成 立 于 1901 年 ,原名 为 美国 国家 标准 局 (NDS) ,1988 年 8 月 ,经 美国 总 统 批准 
更 名 为 美国 国家 标准 和 技术 研究 所 。NIST 已 经 发 行 了 大 量 的 美国 联邦 信息 处 理 标准 出 
版 物 和 特别 公告 ,这些 公 告 对 安全 管理 者 .设计 者 和 实施 者 非常 有 用 。 其 中 ,FIPS PUB 
200( 美 国联 邦 信 息 与 信息 系统 最 低 安全 需求 ) 规 定 了 17 个 与 安全 相关 领域 的 最 低 安全 

4. 国际 电信 联盟 

国际 电信 联盟 于 1865 年 5 月 在 巴黎 成 立 ,1947 年 成 为 联合 国 的 专门 机 构 。ITU 是 世 
界 各 国政 府 的 电信 主管 部 门 之 间 协 调 电信 事务 的 一 个 国际 组 织 , 它 研究 制定 有 关 电 信 业 务 
的 规章 制度 ,通过 决议 提出 推荐 标准 ,收集 有 关 情 报 。 其 中 ,国际 电信 联盟 电信 标准 化 部 门 
(ITU-T) 已 经 发 布 了 X. 800 系列 的 推荐 标准 ,其 内 容 覆 盖 了 数据 网 络 的 安全 , 它 对 安全 威 
胁 、 安 全 服务 和 安全 机 制 做 了 详细 的 概述 。 

5. 互联 网 工程 任务 组 

IETF 成 立 于 1985 年 ,其 主要 任务 是 负责 互联 网 相关 技术 规范 的 研发 和 制定 。 目 前 ， 
IETF 已 成 为 全 球 互联 网 界 最 具 权威 的 大 型 技术 研究 组 织 。IETF 分 成 8 个 工作 组 ,分 别 负 
责 因特网 路 由 ,传输 、 应 用 等 8 个 领域 ,其 著名 的 IKE 和 IPSec 都 在 RFC 系列 之 中 ,还 有 电 
子 邮件 、 网 络 认证 和 密码 及 其 他 安全 协议 标准 。 

6. 信息 技术 安全 标准 化 技术 委员 会 

CITS 成 立 于 1984 年 ,在 国家 标准 化 管理 委员 会 和 信息 产业 部 的 共同 领导 下 ,负责 全 国 
信息 技术 领域 及 与 ISO/IEC JTC1 相对 应 的 标准 化 工作 ,目前 下 设 24 个 分 技术 委员 会 和 特 
别 工 作 组 ,是 国内 最 大 的 标准 化 技术 委员 会 ,也 是 具有 广泛 代表 性 、 权 威 性 的 信息 安全 标准 
化 组 织 。CITS 主要 负责 信息 安全 的 通用 框架 方法、 技术 和 机 制 的 标准 化 及 国内 外 对 应 的 
标准 化 工作 ,其 中 技术 安全 包括 开放 式 安全 体系 结构 、 各 种 安全 信息 交换 的 语义 规则 、 有 关 
的 应 用 程序 接口 和 协议 引用 安全 功能 的 接口 等 。 

7. 中 国 通信 标准 化 协会 

CCSA 成 立 于 2002 年 .是 国内 企 事业 单位 经 业务 主管 部 门 批准 ,自愿 联合 组 织 起 来 的 
开展 通信 技术 领域 标准 化 活动 的 组 织 。CCSA 下 设 有 线 网 络 信息 安全 无线 网 络 信 息 安全 、 
安全 管理 和 安全 基础 设施 4 个 工作 组 .负责 研究 的 内 容 有 : 有 线 网 络 中 电话 网 、 互 联网、 传 
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输 网 、 接 和 人 网 等 在 内 所 有 电信 网 络 相 关 的 安全 标准 ; 无 线 网 络 中 接 入 、 核 心 网 ,业务 等 相关 
的 安全 标准 及 安全 管理 工作 ; 安全 基础 设施 工作 组 中 网 络 管理 安全 及 与 安全 基础 设施 相关 
的 标准 。 


1.3.2 P2DR2 动态 安全 模型 


如 图 1-4 所 示 ,P2DR2 动态 安全 模型 由 策略 (Policy) 、 防 护 (Protection) ,检测 (Detection) 、 
响应 (Response) 和 恢复 (Restore) 五 要 素 构 成 ,是 一 种 基 
| 于 闭环 控制 ,主动 防御 ,具有 时 间 及 策略 特征 的 动态 安全 
模型 ,能 够 构造 多 层次 、 全 方位 和 立体 的 区 域 网 络 安全 
策略 关 | 环境 。 
(1) 策略 是 P2DR2 模型 的 核心 ,是 规定 网 络 要 达到 安 
FE 全 的 目标 而 采取 的 各 种 方法 和 措施 ,所 有 的 防护 、 检 测 、 响 
应 .恢复 都 是 依据 安全 策略 实施 的 。 策 略 描述 网 络 中 哪些 
资源 要 得 到 保护 ,以 及 如 何 实现 对 它们 的 保护 等 。 策略 一 
般 包 括 总 体 安全 策略 和 具体 安全 策略 两 个 部 分 。 
(2) 防护 指 通过 修复 系统 漏洞 .正确 设计 开发 和 安装 系统 来 预防 安全 事件 的 发 生 ; 通 
过 定期 检查 来 发 现 可 能 存在 的 系统 脆弱 性 ; 通过 教育 手段 使 用 户 正确 使 用 系统 ,防止 意外 
威胁 ; 通过 访问 控制 ,监视 等 手段 来 防止 恶意 威胁 。 如 用 于 提供 边界 保护 和 构建 安全 域 的 
防火 墙 技术 .操作 系统 的 身份 认证 技术 .信息 传 输 过 程 中 的 加 密 技 术 等 。 
(3) 检测 是 动态 响应 和 加 强 防护 的 依据 ,通过 不 断 地 检测 和 监控 网 络 , 来 发 现 新 的 威胁 
和 弱点 ,通过 循环 反馈 来 及 时 做 出 有 效 的 响应 。 检 测 主 要 包括 漏洞 扫描 技术 、IDS、IPS 等 。 
当 攻 击 者 穿 透 防护 时 ,检测 功能 开始 发 挥 作用 ,与 防护 形成 互补 。 
(4) 网 络 一 旦 检测 到 入 侵 ,响应 就 开始 工作 ,进行 入侵 事件 处 理 ,阻止 入 侵 进一步 发 展 。 
如 提示 用 户 有 程序 要 修改 操作 系统 注册 表 ,要 求 用 户 确认 是 否 人 允许 修改 。 响 应 机 制 要 对 人 
侵 行 为 做 出 反应 ,记录 入 侵 行为 并 通知 系统 管理 员 ,采取 相应 的 措施 阻止 该 入 侵 行为 。 响 应 
技术 主要 包括 报警 反击 等 。 
(5) 恢复 是 指 将 系统 还 原 到 可 用 状态 或 原始 状态 ,包括 系统 恢复 和 信息 恢复 。 


1.3.3 网 络 安全 评估 标准 


为 实现 对 网 络 安全 的 定性 评价 ,美国 国防 部 所 属 的 国家 计算 机 安全 中 心 (NCSC) 在 20 
世纪 90 年 代 提 供 了 网 络 安全 性 标准 (DoD5200. 28-STD), 即 可 信任 计算 机 标准 评估 准则 
(Trusted Computer Standards Evaluation Criteria, TCSEC), 也 叫 橘 黄 皮 书 (Orange 
Book) 。 该 标准 认为 要 使 系统 免 受 攻击 ,对 应 不 同 的 安全 级 别 ,硬件 .软件 和 存储 的 信息 应 
实施 不 同 的 安全 保护 。 安 全 级 别 对 不 同类 型 的 物理 安全 、 用 户 身份 验证 ,操作 系统 软件 的 可 
信任 性 和 用 户 应 用 程序 分 别 进行 了 安全 描述 。 

目前 ,TCSEC 已 经 成 为 现行 的 网 络 安全 标准 。TCSEC 将 网 络 安全 性 等 级 划分 为 A、 
B.C.D 等 4 类 共 7 级 ,其 中 ,A 类 安全 等 级 最 高 ,D 类 安全 等 级 最 低 。 


图 1-4 P2DR2 模型 


1. D1 级 

D1 级 也 称 为 酌情 安全 保护 ,是 可 用 的 最 低 安全 形式 。 该 标准 说 明 整 个 系统 都 是 不 可 信 
任 的 。 对 硬件 来 说 ,没有 任何 保护 ,操作 系统 容易 受到 损害 ,对 于 用 户 和 对 存储 在 计算 机 上 
信息 的 访问 权限 没有 身份 认证 。 

2. Cl 级 

C 级 有 两 个 安全 子 级 别 : Cl 和 C2, 也 称 为 自选 安全 保护 系统 , 它 描述 了 一 个 在 UNIX 
系统 上 可 用 的 级 别 。 对 硬件 来 说 ,尽管 它 可 能 受到 损害 ,但 因为 存在 某 种 程度 的 保护 , 它 不 
再 轻易 受到 损害 。 用 户 必须 通过 用 户 注册 名 和 口令 系统 识别 自己 ,用 这 种 方式 来 确定 每 个 
用 户 对 程序 和 信息 拥有 什么 样 的 访问 权限 。 

3. C2 级 

除 Cl 级 包含 的 特征 外 ,C2 级 还 包括 其 他 创建 受 控 访问 环境 的 安全 特性 ,该 环境 具有 进 
一 步 限 制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 。 这 不 仅 基于 许可 权限 ,而 且 基 于 身份 
验证 级 别 。 另 外 ,这 种 安全 级 别 要 求 对 系统 加 以 审核 ,审核 可 用 来 跟踪 记录 所 有 与 安全 有 关 
的 事件 ,比如 哪些 是 由 系统 管理 员 执 行 的 活动 。 

4. B1 级 

B 级 也 称 为 被 标签 的 安全 性 保护 ,分 为 三 个 子 级 别 。B1l 级 也 称 为 标准 安全 保护 ,是 支 
持 多 级 安全 的 第 一 个 级 别 , 这 一 级 说 明 ,一 个 处 于 强制 性 访问 控制 之 下 的 对 象 不 允许 文件 的 
拥有 者 改变 其 许可 权限 。 

5. B2 级 

B2 级 也 称 为 结构 保护 ,要 求 计算 机 系统 中 所 有 对 象 都 加 标签 ,而 且 给 设备 分 配 单个 或 
多 个 安全 级 别 。 这 是 提出 的 较 高 安全 级 别 的 对 象 与 另 一 个 较 低 安全 级 别 的 对 象 相互 通信 的 
第 一 个 级 别 。 

6. B3 级 

B3 级 也 称 为 安全 域 级 别 , 使 用 安装 硬件 的 办 法 来 加 强 域 .例如 ,内 存 管理 硬件 用 来 保护 
安全 域 免 遭 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。 该 级 别 也 要 求 用 户 终端 通过 一 条 可 信任 
途径 连接 到 系统 上 。 

7. A 级 

A 级 也 称 为 验证 设计 ,是 当前 橘 黄皮书 中 的 最 高 级 别 , 包 含 了 一 个 严格 的 设计 、 控 制 和 
验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 ,这 一 级 包含 了 较 低级 别 的 所 有 特性 ,其 设计 必须 是 从 
数学 上 经 过 验证 的 ,而 且 必须 进行 对 秘密 通道 和 可 信任 分 布 的 分 析 。 

橘 黄皮书 安全 系统 分 类 总 结 如 表 1-4 所 示 。 

表 1-4 橘 黄皮书 安全 系统 分 类 


评估 标准 D Cl C2 Bl B2 B3 A 
安全 策略 
直接 访问 控制 ~ NA V 
目标 重用 NA Nh 
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续 表 


评估 标准 D Cl C2 Bl B2 B3 A 


标签 V/ Vv 
标签 完整 性 JV 

被 标识 信息 输出 
多 层 设备 输出 
单 层 设备 输出 
标记 人 可 读 输 出 
强制 访问 控制 
目标 敏感 标签 
设备 标签 V/ 
可 说 明 性 

确认 授权 NA V 
审计 V/ NA 
可 信和 路 径 Vv NA 

保险 

系统 体系 
系统 完整 性 
安全 测试 
设计 说 明和 确认 
隐秘 通道 分 析 
可 信 装 置 管理 
配置 管理 

可 信 恢 复 NA 

可 信和 分 发 Vv 
文献 

安全 特性 用 户 指 南 NA 

可 信 装 置 手 册 NA JV JV NA NA 
测试 文档 JV 

设计 文献 JV JV NA JV 
注 :“V ”表示 本 级 有 些 新 的 或 比 对 低 一 级 更 强 的 需求 
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1.4 网络 安全 法 律 法 规 


《中 华人 民 共 和 国 网 络 安全 法 ) 是 为 保障 网 络 安全 ,维护 网 络 空 间 主 权 和 国家 安全 、 
社会 公共 利益 ,保护 公民 、 法 人 和 其 他 组 织 的 合法 权益 ,促进 经 济 社会 信息 化 健康 发 展 而 
制定 的 ,由 全 国人 民 代 表 大 会 常务 委员 会 于 2016 年 11 月 7 日 发 布 , 自 2017 年 6 月 1 日 
起 施行 。 
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一 、 填空 题 

1. 网 络 安全 的 三 个 基本 属性 包括 保密 性 、 完 整 性 和 ( Ds 

2. P2DR2 模型 中 的 D 代表 的 含义 是 ( 入 

3. 目前 普遍 认为 网 络 安全 技术 、 网 络 安全 法 律 法 规 和 ( ) 是 保障 网 络 安全 的 三 大 
支柱 。 

4. 人 ) 层 安全 主要 指 保证 网 络 资源 不 被 非 授权 使 用 ,同时 保证 各 种 网 络 资料 的 完整 
性 、 可 依赖 性 以 及 服务 的 可 用 性 等 。 

二 、 选 择 题 

1. 计算 机 网 络 安全 体系 结构 是 指 ( )5 

A. 网 络 安全 基本 问题 应 对 措施 的 集合 B. 各 种 网 络 的 协议 的 集合 


C. 网 络 层次 结构 和 各 层 协议 的 集合 D. 网 络 的 各 层次 结构 的 总 称 
2. TCSEC 将 计算 机 系统 安全 划分 为 ( je 

A. 3 个 等 级 7 个 级 别 B. 4 个 等 级 7 个 级 别 

C. 5 个 等 级 7 个 级 别 D. 6 个 等 级 7 个 级 别 


3. 在 短 时 间 内 向 网 络 中 的 某 台 服 务 器 发 送 大 量 无 效 连接 请 求 ,导致 合法 用 户 暂 时 无 法 
访问 服务 器 的 攻击 行为 是 破坏 了 ( y 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
4. 如 果 访 问 者 有 意 避 开 系 统 的 访问 控制 机 制 , 则 访问 者 对 网 络 设备 及 资源 进行 非 正常 
使 用 属于 ( js 


A. 破坏 数据 完整 性 B. 非 授 权 访 问 

C. 信息 泄露 D. 拒绝 服务 攻击 
5. 未 授权 的 实体 得 到 了 数据 的 访问 权 ,这 样 做 破坏 了 安全 特性 中 的 ( Ws 

A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
6. 自 改 信息 的 攻击 行为 是 破坏 了 网 络 安全 中 的 (  ”)。 

A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
0 ) 不 是 信息 安全 目标 。 

A. 保密 性 B. 完整 性 C. 可 用 性 D. 及 时 性 
8. 在 P2DR2 模型 中 ,作为 整个 计算 机 网 络 系统 安全 行为 准则 的 是 ( ” )。 

A. 策略 B. 防护 C. 检测 D. 响应 


9. 完整 性 是 指 信息 是 真实 可 信 的 ,其 发 布 者 不 被 冒充 ,来 源 不 被 伪造 ,内 容 不 被 算 改 ， 
主要 防范 措施 是 ( 六 


A. 密码 技术 B. 校 验 与 认证 技术 

C. 可 靠 运行 D. 防止 非法 占用 网 络 资源 
10. 以 下 ( ) 不 属于 物理 层 安全 技术 。 

A. 环境 安全 技术 B. 硬件 访问 控制 技术 


C. 病毒 检测 技术 D. 防 电磁 泄露 技术 


三 、 判 断 题 

1. 保密 性 是 指 保证 信息 与 信息 系统 不 被 非 授权 者 所 获取 与 使 用 ,主要 防范 措施 是 密码 
技术 。 

2. 网 络 安全 威胁 主要 来 源 于 网 络 的 缺陷 .软件 的 漏洞 .黑客 的 攻击 以 及 管理 的 欠缺 。 

3. 系统 层 安 全 威胁 主要 包括 自然 灾害 .设备 自然 损坏 和 环境 干扰 等 。 

4. 应 用 层面 临 的 安全 威胁 主要 来 自 于 恶意 程序 和 应 用 程序 本 身 的 漏洞 。 

5. TCSEC 将 网 络 安全 性 等 级 划分 为 A、B.C.D 等 4 类 共 7 级 ,其 中 ,A 类 安全 等 级 最 
低 ,D 类 安全 等 级 最 高 。 

四 、 简 答题 

1. P2DR2 模型 的 五 要 素 是 什么 ? 

2. 在 OSI 安全 系统 结构 中 定义 的 5 类 安全 服务 是 什么 ? 

3. 在 OSI 安全 系统 结构 中 定义 的 8 类 特定 的 安全 机 制 是 什么 ? 

4. ISO 提出 的 信息 安全 定义 是 什么 ? 
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【本 章 学 习 目 标 】 

。 了 解 OSI 参考 模型 和 TCP/IP 体系 结构 各 层 的 主要 功能 
。 熟悉 IP、ICMP、ARP、TCP 和 UDP 

。 理解 TCP/IP 层次 安全 性 

。 掌握 IPSec 协议 工作 原理 


2.1 OSI 参考 模型 


OSI(Open System Interconnection) 参 考 模型 是 由 ISO 制定 的 标准 化 开放 式 系统 互 连 
参考 模型 ,是 一 个 逻辑 上 的 定义 ,也 是 一 个 规范 , 它 把 网 络 从 人 逻辑 上 分 为 7 层 , 每 一 层 都 有 相 


应 用 层 第 7 层 关 和 相对 应 的 物理 设备 。 它 的 最 大 优点 是 将 服务 、 接 口 和 
a 协议 这 三 个 概念 明确 地 区 分 开 来 ,通过 7 个 层次 化 的 结构 
会 话 层 模型 使 不 同系 统 、 不 同 网 络 之 间 实 现 可 靠 的 通信 。 图 2-1 
公 策 层 是 OSI 参考 模型 的 7 层 结构 。 
网 络 层 1. 物理 层 
数据 链 路 层 物理 层 是 OSI 参考 模型 的 最 低层 或 第 1 层 。 物 理 层 
物 到 导 的 协议 产生 并 检测 电压 以 便 发 适 和 接收 携带 数据 的 信号 ， 
加 直 训 妆 才 六 裕 “”“ ”就 是 在 通信 信道 上 传输 原始 的 数据 位 , 即 相当 于 “信息 实际 
如 何 传 送 ”。 


2. 数据 链 路 层 

数据 链 路 层 是 OSI 参考 模型 的 第 2 层 . 它 控制 网 络 层 与 物理 层 之 间 的 通信 。 它 的 主要 
功能 是 如 何在 不 可 靠 的 物理 线路 上 进行 数据 的 可 靠 传递 ,就 是 在 物理 链 路 上 无 差错 地 传送 
数据 帧 , 即 相 当 于 “每 一 步 该 怎么 走 ”。 

3. 网 络 层 

网 络 层 是 OSI 参考 模型 的 第 3 层 , 它 的 主要 功能 是 将 网 络 地 址 翻译 成 对 应 的 物理 地 
址 ,并 决定 如 何 将 数据 从 发 送 方 路 由 到 接收 方 ,网 络 层 就 是 完成 分 组 传送 、 路 由 选择 和 网 络 
管理 等 工作 , 即 相 当 于 “数据 如 何 到 达 对 方 ”。 

4. 传输 层 

传输 层 是 OSI 参考 模型 的 第 4 层 ,也 是 最 重要 的 一 层 。 传 输 协议 同时 进行 流量 控制 或 
是 基于 接收 方 可 接收 数据 的 快慢 程度 规定 适当 的 发 送 速率 , 除 此 之 外 ,传输 层 按 照 网 络 能 处 


理 的 最 大 尺寸 将 较 长 的 数据 包 进 行 强 制 分 割 。 传 输 层 的 主要 工作 就 是 从 端 到 端 经 网 络 透明 
地 传送 报 文 , 即 相当 于 “对方 在 何 处 ”。 

5. 会 话 层 

会 话 层 是 OSI 参考 模型 的 第 5 层 , 负 责 在 网 络 中 的 两 节点 之 间 建 立 .维持 和 终止 通信 。 
会 话 层 的 功能 包括 : 建立 通信 连接 ,保持 会 话 过程 通 信 连 接 的 畅通 ,同步 两 个 节点 之 间 的 对 
话 ,决定 通信 是 否 被 中 断 以 及 在 通信 中 断 时 决定 从 何 处 重新 发 送 。 简 单 地 说 ,会 话 层 就 是 完 
成 会 话 的 管理 与 数据 传输 的 同步 工作 , 即 相 当 于 “如 何 检查 ”。 

6. 表示 层 

表示 层 是 OSI 参考 模型 的 第 6 层 , 它 是 应 用 程序 和 网 络 之 间 的 翻译 官 ,在 表示 层 , 数 据 
将 按照 网 络 能 理解 的 方案 进行 格式 化 ,这 种 格式 化 也 因 所 使 用 网 络 类 型 的 不 同 而 不 同 。 表 
示 层 的 主要 工作 就 是 关心 传递 数据 的 语法 与 语义 , 即 相当 于 “ 像 什么 ”。 

7. 应 用 层 

应 用 层 是 OSI 参考 模型 的 第 7 层 ,负责 对 软件 提供 接口 以 使 程序 能 使 用 网 络 服务 ,就 
是 包含 直接 针对 用 户 需 要 的 协议 , 即 相 当 于 “做 什么 ”。 

OSI 参考 模型 作为 一 个 开放 网 络 通信 协议 族 的 工业 标准 ,很 容易 实现 不 同 网 络 技术 的 
互联 和 互 操作 。 但 是 ,由 于 实现 所 有 的 7 层 模 型 过 于 复杂 ,效率 也 低 , 因 此 很 少 有 产品 完全 
符合 OSI 参考 模型 。 


2.2 TCP/IP 协议 族 


TCP/IP 是 用 于 计算 机 通信 的 一 组 协议 ,通常 称 它 为 TCP/IP 协议 族 。 采 用 TCP/IP 协 
议 族 通过 互联 网 传送 信息 可 减少 网 络 中 的 传输 阻塞 ,方便 大 批量 的 数据 在 网 络 上 传输 ,从 而 
提高 网 络 的 传输 效率 。TCP/IP 协议 族 中 包括 上 百 个 互 为 关联 的 协议 ,例如 ,ICMP、ARP/ 
RARP、UDP、FTP、HTTP、SMTP 等 。 

1. TCP/IP 的 层次 结构 

从 协议 分 层 模 型 方面 来 划分 ,TCP/IP 由 4 个 层次 组 成 ,分 别 是 网 络 接口 层 . 网 络 层 、 传 
输 层 和 应 用 层 。 

1) 网 络 接口 层 

网 络 接口 层 把 数据 链 路 层 和 物理 层 放 在 一 起 ,对 应 TCP/IP 概念 模型 的 网 络 接口 。 对 
应 的 网 络 协议 主要 是 PPP(Point-to-Point Protocol, 点 对 点 协议 ) .HDLC(CHigh Level Data 
Link Control, 高 级 链 路 控制 协议 ) 等 。 

2) 网 络 层 

网 络 层 对 应 OSI 参考 模型 的 网 络 层 。 重 要 的 网 络 层 协 议 包括 IP(Internet Protocol, 网 
际 协议 ) .ICMP (Internet Control Message Protocol, 网 际 控制 报 文 协议 )、ARP(Address 
Resolution Protocol, 地 址 解析 协议 ) 和 RARP(Reverse Address Resolution Protocol, 反 向 
地 址 解析 协议 ) 等 。 

3) 传输 层 

传输 层 对 应 OSI 参考 模型 的 传输 层 。 传 输 层 包括 TCP (Transmission Control 
Protocol ,传输 控制 协议 ) 和 UDP(User Datagram Protocol, 用 户 数据 报 协 议 ) ,它们 是 传输 
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击 计 沽 
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层 中 最 主要 的 协议 。 

4) 应 用 层 

应 用 层 对 应 OSI 参考 模型 的 应 用 层 、 表 示 层 和 会 话 层 。 应 用 层 位 于 协议 栈 的 顶端 , 它 
的 主要 任务 是 应 用 。 常 见 的 应 用 层 协议 有 FTP(File Transfer Protocol, 文 件 传输 协议 )、 
HTTP(Hyper Text Transfer Protocol, 超 文本 传输 协议 )、DNS(Domain Name Service, 域 
名 服务 器 ) 和 SMTP(Simple Mail Transfer Protocol, 简 单 邮 件 传输 协议 ) 等 。 

2. OSI 参考 模型 和 TCP/IP 模型 比较 

表 2-1 是 OSI 参考 模型 和 TCP/IP 模型 的 比较 ,同时 将 各 种 网 络 协 议 归 类 。 


表 2-1 OSI 参 考 模型 和 TCP/IP 模型 比较 


OSI 参考 模型 TCP/IP 模型 网 络 协 议 
应 用 层 
表示 层 应 用 层 FTP/HTTP/DNS/SMTP 等 
会 话 层 
传输 层 传输 层 TCP/UDP 
网 络 层 网 络 层 IP/ICMP/ARP/RARP 等 
数据 链 路 层 
络 接口 层 DLC 溯 
物理 层 网 络 接口 后 PPP/HDLC 等 


OSI 参考 模型 和 TCP/IP 模型 两 种 分 层 的 主要 不 同 之 处 是 : TCP/IP 在 实现 上 力求 简 
单 高 效 ,如 IP 层 并 没有 实现 可 靠 的 连接 ,而 是 把 它 交 给 了 传输 层 的 TCP 去 实现 ,这 样 保证 
了 IP 层 实现 的 简单 性 。 事 实 上 有 些 服务 并 不 需要 可 靠 的 面向 连接 服务 ,如 果 在 IP 层 加 上 
可 靠 性 控制 ,只 能 说 是 一 种 处 理 能 力 的 浪费 。OSI 参考 模型 在 各 层 的 实现 上 有 所 重复 ,而且 
会 话 层 和 表示 层 不 是 对 所 有 服务 都 有 用 ,无 疑 这 种 模型 有 些 烦 琐 。 

3. TCP/IP 工作 原理 

下 面 以 使 用 TCP 传送 文件 为 例 说 明 TCP/IP 的 工作 原理 。 

(1) 在 源 主机 上 应 用 层 将 一 串 字 节 流 传送 给 传输 层 。 

(2) 传输 层 将 应 用 层 的 数据 流 截 成 分 组 ,并 加 上 TCP 报头 形成 TCP 段 , 送 交 网 络 层 。 

(3) 在 网 络 层 给 TCP 段 加 上 包括 源 、 目 的 主机 IP 地址 的 IP 报头 ,生成 一 个 IP 数据 报 ， 
并 将 IP 数据 报 送 交 数据 链 路 层 。 

(4) 链 路 层 在 其 帧 的 数据 部 分 装 上 IP 数据 报 , 再 加 上 源 、 目 的 主机 的 MAC 地 址 和 帧 
头 , 并 根据 其 目的 主机 的 MAC 地 址 ,将 帧 发 往 目 的 主机 或 IP 路 由 器 。 

(5) 在 目的 主机 ,数据 链 路 层 将 帧 的 帧 头 去 掉 ,并 将 IP 数据 报 送 交 网 络 层 。 

(6) 网 络 层 检查 IP 报头 ,如 果 报 头 中 校 验 和 与 计算 结果 不 一 致 , 则 丢弃 该 IP 数据 报 ; 
若 校 验 和 与 计算 结果 一 致 , 则 去 掉 IP 报头 ,将 TCP 段 送 交 传输 层 。 

(7) 传输 层 检查 顺序 号 ,判断 是 否 是 正确 的 TCP 分 组 ,然后 检查 TCP 报头 数据 。 若 正 
确 , 则 向 源 主 机 发 确认 信息 ; 车 不 正确 或 丢 包 , 则 向 源 主机 要 求 重 发 信息 。 

(8) 在 目的 主机 ,传输 层 去 掉 TCP 报头 ,将 排 好 顺序 的 分 组 组 成 应 用 数据 流 送 给 应 用 
程序 。 

这 样 目的 主机 接收 到 的 来 自 源 主机 的 字 节 流 ,就 像 是 直接 接收 来 自 源 主机 的 字 节 流 一 样 。 


2.2.1 网 际 协议 


IP 又 称 网 际 协议 ,是 支持 网 间 互 联 的 数据 报 协议 , 它 与 TCP 一 起 构成 TCP/IP 协议 族 
的 核心 ,IP 层 接收 由 更 低层 发 来 的 数据 包 , 并 把 该 数据 包 发 送 到 更 高 层 的 TCP 或 UDP 层 ; 
相反 ,IP 层 也 把 从 TCP 或 UDP 层 接收 来 的 数据 包 传送 到 更 低层 。IP 数据 报 是 不 可 靠 的 ， 
因为 IP 并 没有 做 任何 事情 来 确认 数据 包 是 按 顺 序 发 送 的 或 者 没有 被 破坏 。IP 数据 报 中 含 
有 发 送 它 的 主机 的 地 址 ( 源 地 址 ) 和 接收 它 的 主机 的 地 址 (目的 地 址 ) 。 


1. 数据 报 的 格式 
IP 数据 报 的 格式 能 够 说 明 IP 都 具有 什么 功能 。 图 2-2 是 IP 数据 报 的 完整 格式 。 
位 0 4 8 16 19 24 32 
版 本 | 首部 长 度 | 区 分 服务 | 总 长 度 
固 标 识 | 标志 | 片 偏 移 
ep 生存 时 间 协议 | 首部 校 验 和 
部 分 源 地址 
目的 地 址 
可 变 部 分 可 选 字段 (长 度 可 变 ) | 看 充 
数 据 部 分 


图 2-2 ”IP 数据 报 的 完整 格式 


从 图 2-2 中 可 看 出 ,一 个 IP 数据 报 由 首部 和 数据 两 部 分 组 成 。 首 部 的 前 一 部 分 是 固定 
长 度 , 共 20 字 节 ,是 所 有 IP 数据 报 必 须 具 有 的 。 在 首部 的 固定 部 分 的 后 面 是 一 些 可 选 字 
届 ,其 长 度 是 可 变 的 。 下 面 介绍 首部 各 字段 的 意义 。 

(1) 版 本 : 占 4 位 ,指出 当前 使 用 的 IP 版 本 。 

(2) 首部 长 度 : 占 4 位 ,指出 数据 报 协议 头 长 度 ,可 表示 的 最 大 十 进 制 数值 是 15 。 

(3) 区 分 服务 : 占 8 位 ,用 来 获得 更 好 的 服务 。 

(4) 总 长 度 : 指 首部 和 数据 之 和 的 长 度 ,单位 为 字 节 。 总 长 度 字段 为 16 位 ,因此 数据 报 
的 最 大 长 度 为 25 一 1 一 65 535 字 节 。 

(5) 标识 : 占 16 位 ,包含 一 个 整数 ,用 于 识别 当前 数据 报 。 

(6) 标志 : 占 3 位 ,但 目前 只 有 两 位 有 意义 。 标 志 字 段 中 的 最 低位 为 MF(More Fragment)， 
MF 二 1 表示 后 面 * 还 有 分 片 ”的 数据 报 。MF 二 0 表示 这 已 是 若干 数据 报 片 中 的 最 后 一 个 。 
标志 字段 中 间 的 一 位 记 为 DF(Don’t Fragment) ,意思 是 “不 能 分 片 ”, 只 有 当 DF 二 0 时 才 允 
许 分 片 。 

(7) 片 偏 移 : 占 13 位 ,指出 与 源 数据 报 的 起 始 端 相 关 的 分 片 数据 位 置 ,支持 目标 IP 适 
当 重 建 源 数据 报 。 

(8) 生存 时 间 : 占 8 位 ,表明 数据 报 在 网 络 中 的 寿命 。 

(9) 协议 : 占 8 位 ,指出 在 IP 处 理 过 程 完成 之 后 ,由 哪 种 上 层 协 议 接收 数据 包 。 

(10) 首部 校 验 和 : 占 16 位 ,这 个 字段 只 检验 数据 的 首部 ,但 不 包括 数据 部 分 。 

(11) 源 地 址 : 占 32 位 。 

(12) 目的 地 址 : 占 32 位 。 
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(13) 选项 : 允许 IP 支持 各 种 选项 ,如 安全 性 。 

2. IPv4 的 IP 地 址 分 类 

在 因特网 上 ,为 了 实现 连接 到 互联 网 上 的 节点 之 间 的 通信 ,必须 为 每 个 连接 到 互联 网 的 
节点 分 配 一 个 地 址 ,并 且 应 当 保 证 这 个 地 址 是 全 球 唯 一 的 ,这 就 是 IP 地 址 。IP 地 址 长 度 为 
32 位 ,最 初 设计 互联 网 络 时 ,为 了 便于 寻 址 以 及 层次 化 构造 网 络 ,每 个 IP 地 址 包括 两 个 标 
识 码 (ID), 即 网 络 ID 和 主机 ID。 同 一 个 物理 网 络 上 的 所 有 主机 都 使 用 同一 个 网 络 ID, 网 
络 上 的 一 个 主机 (包括 网 络 上 的 工作 站 、 服 务 器 和 路 由 器 等 ) 有 一 个 主机 ID 与 其 对 应 。 因 特 
网 委员 会 定义 了 5 种 IP 地 址 类 型 以 适合 不 同 容 量 的 网 络 , 即 A 类 一 下 类。5 类 不 同 的 IP 
地 址 格式 如 图 2-3 所 示 。 


7 位 24 位 
A 类 [of 网 络 号 | 主机 号 
14 位 16 位 
B 类 |!| 网 络 号 | 主机 号 
21 位 8 位 
Cc 类 |1|1l0 网 络 号 主机 号 
28 位 
D 类 |11l1lo| 多 搬 组 号 
27 位 
E 类 |1 II 留待 后 用 


图 2-3 5 类 IP 地 址 


IP 地 址 是 一 个 32 位 的 二 进 制 数 ,通常 被 分 割 为 4 个 “8 位 二 进 制 数 ”( 也 就 是 4 字 节 )。 
IP 地 址 通常 用 “点 分 十 进 制 ?表示 成 (a. b. c. d) 的 形式 ,其 中 ,a、b、c.d 都 是 0~255 的 十 进 制 
整数 。 例 : 点 分 十 进 IP 地 址 (100. 4. 5. 6) ,实际 上 是 32 位 二 进 制 数 (01100100. 00000100. 
00000101. 00000110) , 它 是 一 个 A 类 地 址 。 区 分 各 类 地 址 最 简单 的 方法 是 看 它 的 第 一 个 十 
进 制 整数 , 表 2-2 列 出 了 各 类 地 址 的 起 止 范围 。 


表 2-2 各 类 IP 地 址 的 起 止 范围 


类 型 范围 类 型 范围 
A 0. 0. 0. 0 一 127. 255. 255. 255 D 224. 0. 0. 0 一 239. 255. 255. 255 
B 128. 0. 0.0~191. 255. 255. 255 E 240. 0. 0.0~247. 255. 255. 255 
2 192. 0. 0.0~223. 255. 255. 255 


IP 地 址 又 可 分 为 公有 地 址 和 私有 地 址 。 

(1) 公有 地 址 (public address) 由 Inter NIC(Internet Network Information Center, 因 
特 网 信息 中 心 ) 负 责 , 这 些 IP 地 址 分 配给 注册 并 向 Inter NIC 提出 申请 的 组 织 机 构 ,通过 它 
直接 访问 因特网 。 

(2) 私有 地 址 (private address) 属 于 非 注册 地 址 ,专门 为 组 织 机 构 内 部 使 用 。 

以 下 列 出 留用 的 内 部 私有 地 址 : 


“和 类 10.05.0.0 一 105255..255.255 
。 也 类: 172. 16. 0. 0 一 172. 31. 255. 255 
*。C 类 : 192.168. 0.0 一 192. 168. 255. 255 


2.2.2 网 际 控制 报 文 协议 


网 际 控制 报 文 协议 (ICMP) 是 TCP/IP 协议 族 的 子 协议 ,用 于 在 IP 主机 、 路 由 器 之 间 传 
递 控 制 报 文 。 控 制 报 文 是 指 网 络 是 否 连通 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消 
息 。 这 些 控 制 报 文 虽然 并 不 传输 用 户 数 据 , 但 是 对 于 用 户 数据 的 传递 起 着 非常 重要 的 作用 。 

1. ICMP 报 文 的 格式 

ICMP 报 文通 常 被 IP 层 或 更 高 层 协议 使 用 ,一 些 ICMP 报 文 把 差错 报 文 返回 给 用 户 进 
程 。ICMP 报 文 是 在 IP 数据 报 内 部 被 传输 的 , 它 的 格式 如 图 2-4 所 示 。 

位 0 8 16 32 
类 型 代码 校 验 和 
(这 4 字 节 取决 于 ICMP 报 文 的 类 型 ) 


ICMP 的 数据 部 分 (长 度 取决 于 类 型 ) 


:2 


ICMP 报 文 
I 


首部 数据 部 分 
IP 数 据 报 
图 2-4 ICMP 报 文 的 格式 


ICMP 报 文 的 前 4 字 节 是 统一 的 格式 ,共有 三 个 字段 , 即 类 型 .代码 和 校 验 和 ,接着 的 
4 字 节 的 内 容 与 ICMP 的 类 型 有 关 , 最 后 面 是 数据 字段 ,其 长 度 取决 于 ICMP 的 类 型 。 表 2-3 
给 出 了 几 种 常用 的 ICMP 报 文 类 型 。 


表 2-3 几 种 常用 的 ICMP 报 文 类 型 


ICMP 报 文 种 类 类 型 的 值 ICMP 报 文 的 类 型 
3 终点 不 可 达 
4 源 点 抑制 
差错 报告 报 文 改变 路 由 
11 时 间 超 过 
12 参数 问题 
8 或 0 回 送 请 求 或 回答 
再 向 悦 交 13 或 14 时 间 截 请 求 或 回答 


2. ICMP 的 应 用 实例 
ICMP 的 一 个 重要 应 用 就 是 分 组 网 间 探 测 PING(Packet InterNet Groper) ,用 来 测试 
两 个 主机 之 间 的 连通 性 。PING 使 用 了 ICMP 回 送 请 求 与 回 送 回答 报 文 。PING 是 应 用 层 


网 络 基 础 
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直接 使 用 网 络 层 ICMP 的 一 个 例子 , 它 没有 通过 传输 层 的 TCP 或 UDP。 

图 2-5 给 出 了 从 哈尔滨 的 一 台 主 机 到 搜狐 网 的 Web 服务 器 的 连通 性 的 测试 结果 。 主 
机 一 连 发 出 了 4 个 ICMP 回 送 请 求 报 文 , 如 果 Web 服务 器 正常 工作 而 且 响应 这 个 ICMP 回 
送 请 求 报 文 ,那么 它 就 发 回 ICMP 回 送 回答 报 文 。 PR 
此 很 容易 得 出 往返 时 间 。 


C:\Users\Administrator>ping Wuw.sohu.com 


正在 Ping frontend-sy.a.sohu.com [218.69.39.165] 具有 32 字 节 的 数据 : 
来 自 218.69.39.165 的 回复 : 字 节 =32 时 间 =33ms TTL=55 
回复 : 字 节 =32 时 间 =33ms TTL=55 
回复 : 字 节 =32 时 间 =32ms TTL=55 
可 复 : 字 节 =32 时间 :32ms TTL=55 


218.69. 强 a 入 9 统计 信息 : 
数据 已 接收 = 4， 竺 失 : 9 (6X 备 失 )， 
Ey 
= 32ms， 最 长 : 33ms， 十 均 = 32ms 


来 自 218.66.39.165 的 


1 


图 2-5 用 ping 测 试 主机 的 连通 性 


2.2.3 地 址 解析 协议 


MAC 地 址 是 计算 机 最 终 能 够 识别 的 物理 地 址 , 当 发 送 方 计 算 机 发 送 数据 时 ,将 网 络 连 
接 设 备 源 MAC 地 址 和 目的 MAC 地 址 分 别 封装 到 帧 的 源 MAC 和 目的 MAC 位 ,然后 将 其 
发 送 到 网 络 介 质 上 。 接 收 方 计算 机 通过 查看 帧 的 目的 地 址 位 填写 的 MAC 地 址 ,来 判断 是 
否 和 自己 的 MAC 地 址 一 致 ,如 果 一 致 , 则 将 其 复制 ,去 掉 封装 并 传递 到 上 层 应 用 程序 ， 如 
果 不 一 致 , 则 网 卡 丢 弃 该 数据 帧 。 而 通信 时 由 于 MAC 地 址 随 硬件 随机 分 布 , 不 易 记 忆 和 使 
用 ,人 们 一 般 使 用 更 容易 记忆 的 IP 地 址 进行 通信 ,但 是 我 们 指定 的 IP 地 址 必须 转化 成 计算 
机 识别 的 MAC 地 址 才能 通信 , ARP 就 是 用 于 解决 这 个 问题 的 协议 ,地 址 解析 (address 
resolution) 是 主机 在 发 送 帧 前 将 目标 IP 地 址 
转换 成 目标 MAC 地 址 的 过 程 。 图 2-6 说 明了 
ARP 的 作用 。 图 2-6 ARP 协议 的 作用 

1. ARP 工作 原理 

ARP 解析 地 址 过 程 如 下 。 

(1) 发 送 方 计算 机 首先 检查 自己 的 ARP 缓存 是 否 有 对 应 的 IP 和 MAC 地址 映射 的 条 

: 如 果 有 , 则 找到 MAC 地 址 ,发 送 数据 ; 如 果 没 有 , 则 需要 进一步 解析 。 

(2) 发 送 方 发 送 广播 ,向 所 有 设备 询问 该 IP 地 址 对 应 的 MAC 地址。 对 应 IP 地 址 的 计 
算 机 回应 广播 ,向 发 送 方 发 送 对 应 自己 IP 地 址 和 MAC 地 址 的 映射 记录 ,并且 接收 方 同 时 
将 发 送 方 的 IP 地 址 对 应 MAC 地 址 的 映射 保留 在 自己 的 ARP 缓存 中 。 

(3) 发 送 方 收 到 ARP 的 回应 后 ,将 其 保留 在 自己 的 ARP 缓存 中 ,以 便 下 次 使 用 。 同 时 
将 得 到 的 MAC 地 址 封装 到 帧 的 目的 地 址 位 置 ,将 其 发 送 到 网 络 介质 中 。 

下 面 举例 来 解释 ARP 工作 过 程 ,如 图 2-7 所 示 。 主 机 A 要 向 本 局 域 网 内 的 主机 B 发 
送 IP 数据 报时 ,首先 在 其 ARP 高 速 缓存 中 查看 有 无 主机 B 的 IP 地 址 ,如 果 有 ,就 在 ARP 


IP 地 址 一 一 一 ARP “上 > MAC 地 址 


高 速 缓存 中 查 出 其 对 应 的 MAC 地 址 ,再 把 这 个 MAC 地 址 写 入 MAC 帧 ,然后 通过 局 域 网 
把 该 MAC 帧 发 往 此 硬件 地 址 ; 如 果 找 不 到 主机 B 的 IP 地 址 的 项 目 , 主 机 A 就 会 自动 运行 
ARP, 然 后 按 以 下 步骤 找 出 主机 B 的 硬件 地 址 。 


我 是 192.168.8.1， 硬 件 地 址 是 20-D0-C0-27-AB-13， 我 想 知道 主机 
192.168.8.2 的 硬件 地 址 


《人 ARP 请求 ARP 请 求 此 >》 | ARP 请 求 本 > ARP 请 求 己 > 


92.168.8.2 
地 168.8 E 


20-D0-C0-27-AB-13 05-00-7B-11-DE-3A 


192.168.8.1 D 


(a) 


我 是 192.168.8.2， 硬 件 地 址 是 05-00-7B-11-DE-3A 


《ARPm 应 


2 192.168.8.2 
192.168.8.1 地 B E 


20-D0-C0-27-AB-13 05-00-7B-11-DE-3A 
(b) 
图 2-7 地 址 解析 协议 ARP 的 工作 过 程 


(1) ARP 进程 在 本 局 域 网 上 广播 发 送 一 个 ARP 请 求 分 组 ,目标 MAC 地 址 是 “FF. FF. 
FF. FF. FF. FF”( 全 1), 意 思 是 向 同一 网 段 内 的 所 有 主机 发 出 询问 :“ 我 是 192. 168. 8. 1, 硬 
件 地 址 是 20-D0-C0-27-AB-13 ,我 想 知道 主机 192. 168. 8. 2 的 硬件 地 址 .” 图 2-7(a) 是 主机 
A 广播 发 送 ARP 请 求 分 组 的 示意 图 。 

(2) 本 局 域 网 上 的 所 有 主机 运行 的 ARP 进程 都 收 到 此 ARP 请 求 分 组 。 

(3) 网 络 上 其 他 主机 不 响应 ARP 询问 ,只 有 主机 B 接收 这 个 帧 ,回应 “我 是 192. 168. 8. 2， 
硬件 地 址 是 05-00-7B-11-DE-3A”, 同 时 更 新 自己 的 ARP 缓存 , 见 图 2-7(b)。 

(4) 主机 A 知道 了 主机 也 的 MAC 地 址 , 它 就 可 以 向 主机 B 发 送信 息 了 。 同 时 , 它 更 新 
自己 的 ARP 缓存 ,下 次 再 发 送信 息 给 B 时 ,直接 从 ARP 缓存 表 里 查找 即 可 。 

2. ARP 提高 效率 措施 

为 进一步 提高 效率 ,ARP 还 采用 了 如 下 措施 。 

(1) 高 速 缓存 技术 : 主机 保存 已 知 的 ARP 表 项 , 当 收 到 目的 主机 的 ARP 应 答 时 将 其 中 的 
信息 加 入 ARP 表 中 。 主 机 发 送信 息 时 , 先 查 询 ARP 表 , 若 未 找到 目的 主机 的 MAC 地 址 则 用 
ARP 协议 解析 地 址 。 每 个 表 项 设置 一 个 计时 器 ,超时 即 自动 删除 ,以 保证 表 项 的 有 效 性 。 

(2) 主机 A 发 送 ARP 请 求 时 ,包含 了 自己 的 IP 地 址 和 物理 地 址 的 映射 ,而 且 ARP 请 
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求 是 以 广播 形式 发 送出 去 的 ,所 以 包括 目的 主机 在 内 的 网 络 中 的 所 有 主机 都 会 收 到 此 信息 ， 
可 将 此 信息 保存 下 来 ,以 备 下 次 使 用 。 

(3) 每 台 主 机 启动 时 广播 自己 的 全 地址 和 MAC 地 址 的 映射 关系 ,以 尽量 避免 其 他 主 
机 对 它 进行 ARP 请 求 。 

3. ARP 缓存 表 查 看 方法 

ARP 缓存 表 是 可 以 查看 的 ,也 可 以 添加 和 修改 。 在 Windows 系统 下 ,可 使 用 “arp -a” 
命令 观察 主机 的 ARP 缓存 表 。 图 2-8 中 演示 查看 ARP 缓存 表 。 


192.189.1.111 === @xe 
Internet 地 址 物理 地 址 
192.168.1.1 99-25-5e-69-13-11 
192.168.1.255 ff-ff-ff-ff-ff-ff 


224.0.0.22 690-5e-00-060-16 
224.0.0.252 60-5e-00-00-fc 
226.185.296.221 99-5e-39-ce-dd 
229.61.212.221 60-5e-3d-d4-dd 
232.28.200.220 00-5e-1c-c8-dce 
232.241.214.221 99-5e-71-d6-dd 
233.154.56.115 00-5e-1a-38-73 


球 于 于 于 于 于 于 于 时 亲 
讲 讲 讲 讲 讲评 讲评 讲 隆 


图 2-8 查看 ARP 缓存 表 


用 “arp -d” 命 令 可 以 删除 ARP 表 中 所 有 的 内 容 ; 用 “arp -d 十 空格 十 < 指定 IP 地 址 >” 
可 以 删除 指定 IP 所 在 行 的 内 容 ; 用 “arp -s” 可 以 手动 在 ARP 表 中 指定 IP 地 址 与 MAC 地 
址 的 对 应 ,类 型 为 static( 静 态 ) ,此 项 存在 硬盘 中 ,而 不 是 缓存 表 , 计 算 机 重新 启动 后 仍然 存 
在 , 且 遵 循 静态 优 于 动态 的 原则 ,所 以 这 个 设置 不 对 ,可 能 导致 无 法 上 网 。 


2.2.4 传输 控制 协议 


TCP 可 以 提供 面向 连接 的 可 靠 的 \ 点 到 点 的 全 双 工 传输 。 

(1) TCP 是 面向 连接 的 传输 层 协议 。 应 用 程序 在 使 用 TCP 协议 之 前 ,必须 先 建立 连 
接 ,在 传送 数据 完毕 后 ,必须 释放 已 建立 的 TCP 连接 。 

(2) TCP 提供 可 靠 交付 的 服务 。 即 通过 TCP 连接 传送 的 数据 ,无 差错 不 丢失 不 重 
复 , 并 且 按 序 到 达 。 

(3) 每 一 条 TCP 连接 只 能 有 两 个 端点 ,每 一 条 TCP 连接 只 能 是 点 对 点 的 。 

(4) TCP 提供 全 双 工 通信 , 即 TCP 允许 通信 双方 的 应 用 进程 在 任何 时 候 都 能 发 送 
数据 。 

1. TCP 首部 格式 

TCP 报 文 段 首部 的 前 20 字 节 是 固定 的 ,后 面 有 4N 字 节 是 根据 需要 而 增加 的 选项 (N 
是 整数 ) ,因此 ,TCP 首部 的 最 小 长 度 是 20 字 节 ,如 图 2-9 所 示 。 

(1) 源 端口 和 目的 端口 : 各 占 2 字 节 ,分别 写 入 源 端口 号 和 目的 端口 号 。 

(2) 序号 : 占 4 字 节 , 序 号 范围 是 [0,2” 一 1], 共 2”( 即 4284967 296) 个 序号 , 当 序 号 增 
加 到 2” 一 1 后 ,下 一 个 序号 就 又 回 到 0。 


源 端 口 目的 端口 
序 号 
20 
汪 确认 号 
PIRISTF 
侣 和 | 保 宣 发 从 本人 区 
校 验 和 紧急 指针 
选项 (长 度 可 变 ) 填充 


TCP 首 部 TCP 报 文 段 的 数据 部 分 


图 2-9 TCP 首部 格式 


(3) 确认 号 : 占 4 字 节 ,是 期 望 收 到 对 方 下 一 个 报 文 段 的 第 一 数据 字 节 的 序号 。 

(4) 数据 偏 移 : 占 4 位 , 它 指出 TCP 报 文 段 的 数据 起 始 处 距离 TCP 报 文 段 的 起 始 处 有 
多 远 。 
(5) 保留 : 占 6 位 ,保留 为 今后 使 用 ,但 目前 应 置 为 0。 

(6) 紧急 URG: 当 URG=1 时 ,表明 紧急 指针 字段 有 效 , 这 时 要 与 首部 中 紧急 指针 字 
段 配合 使 用 。 

(7) 确认 ACK: 当 ACK=1 时 ,确认 号 字段 才 有 效 ,TCP 规定 ,在 连接 建立 后 所 有 传送 
的 报 文 段 都 必须 把 ACK 置 1。 

(8) 推送 PSH: 当 PSH=1 时 ,表示 以 最 快 的 速度 传输 数据 。 

(9) 复位 RST: 当 RST=1 时 ,表明 TCP 连接 中 出 现 严重 差错 ,必须 释放 连接 ,然后 再 
重新 建立 传输 连接 。 

(10) 同步 SYN: 在 连接 建立 时 用 来 同步 序号 , 当 SYN=1 时 ,表示 这 是 一 个 连接 请 求 
或 连接 接受 报 文 。 

(11) 终止 FIN: 用 来 释放 一 个 连接 , 当 FIN=1 时 .表明 从 发 送 方 发 出 的 此 报 文 段 的 数 
据 已 发 送 完毕 ,并 要 求 释放 传输 连接 。 

(12) 窗口 : 占 2 字 节 , 窗 口 值 是 L0,2 一 1 之 间 的 整数 ,窗口 指 的 是 发 送 本 报 文 段 的 一 
方 的 接收 窗口 。 窗 口 值 告诉 对 方 ,从 本 报 文 段 首部 中 的 确认 号 算 起 ,接收 方 目 前 允许 对 方 发 
送 的 数据 量 。 

(13) 校 验 和 : 占 2 字 节 ,这 个 校 验 和 与 IP 的 校 验 和 有 所 不 同 , 它 不 仅 对 头 数据 进行 校 
验 还 对 内 容 进 行 校 验 。 

(14) 紧急 指针 : 占 2 字 节 , 它 指出 本 报 文 段 中 的 紧急 数据 的 字 节 数 。 

(15) 选项 : 长 度 可 变 ,最 长 可 达 40 字 节 。 当 没有 使 用 选项 时 , TCP 的 首部 长 度 是 
20 字 节 。 

2. TCP 工作 原理 

TCP 是 面向 连接 的 协议 ,传输 连接 是 用 来 传送 TCP 报 文 的 ,TCP 传输 连接 的 建立 和 释 
放 是 每 一 次 面向 连接 的 通信 中 必 不 可 少 的 过 程 。TCP 在 建立 连接 时 需要 3 次 确认 ,俗称 
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“三 次 握手 ”, 在 断 开 连接 时 需要 4 次 确认 ,俗称 “四 次 握手 ”。 

1) TCP 的 连接 建立 

图 2-10 给 出 了 TCP 的 建立 连接 的 过 程 。 假 定 主机 A 运行 的 是 TCP 客户 程序 ,而 服务 
器 B 运行 TCP 服务 器 程序 。 

三 次 握手 首先 要 求 对 本 次 连接 的 所 有 报 文 进行 编号 , 取 一 个 随机 值 作为 初始 序号 。 由 
于 序号 域 足够 长 ,可 以 保证 序号 循环 一 周 时 使 用 同一 序号 的 旧 报 文 早已 传输 完毕 ,网 络 上 也 
就 不 会 出 现 关 于 同一 连接 、 同 一 序号 的 两 个 不 同 报 文 。 在 三 次 握手 的 第 一 次 握手 中 ,A 首 
先 向 B 发 出 连接 请 求 报 文 段 ,这 时 首部 中 的 同步 位 SYN 一 1, 同 时 选择 一 个 初始 序号 seq 一 
x。 在 第 二 次 握手 中 ,B 接收 到 请 求 连接 报 文 段 后 ,如 果 同 意 建 立 连 接 , 即 向 A 发 送 确认 , 确 
认 报 文 段 中 SYN 位 和 ACK 位 都 置 1 ,确认 号 是 ack 二 x 十 1, 同 时 也 为 自己 选择 一 个 初始 序 
号 seq 二 y。 在 第 三 次 握手 中 , 当 A 收 到 B 的 确认 后 ,还 要 向 B 发 出 确认 ,确认 号 是 ack= 
y 十 1, 而 自己 的 序号 是 seq 二 x 十 1, 这 时 ,TCP 连接 已 经 建立 ,A 和 B 就 可 以 进行 数据 传送 了 。 

2) TCP 的 连接 释放 

TCP 连接 释放 过 程 比 较 复杂 ,如 图 2-11 所 示 。 


客户 服务 器 
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《数据 传送 成 > 
图 2-10 TCP 三 次 握手 图 2-11 TCP 四 次 握手 


在 四 次 握手 中 ,第 一 次 握手 ,A 的 应 用 进程 先 向 TCP 发 出 连接 释放 报 文 段 , 并 停止 再 发 
送 数据 ,主动 关闭 TCP 连接 。A 的 释放 报 文 段 首部 的 FIN 置 1, 其 序号 是 seq 一 u, 它 等 于 前 
面 已 传送 过 的 数据 的 最 后 一 个 字 节 的 序号 加 1, 这 时 A 等 待 B 的 确认 。 第 二 次 握手 ,B 收 到 
连接 释放 报 文 段 后 即 发 出 确认 ,确认 号 是 ack 二 u 十 1, 而 这 个 报 文 段 自己 的 序号 是 v, 等 于 B 
前 面 已 传送 过 的 数据 的 最 后 一 个 字 节 的 序号 加 1, 这 时 的 TCP 连接 处 于 半 关 闭 状态 , 即 A 
已 经 没有 数据 要 发 送 了 ,但 B 若 发 送 数据 ,A 仍 要 接收 ,也 就 是 说 ,从 B 到 A 的 这 个 方向 的 
连接 并 未 关闭 ,A 收 到 来 自 B 的 确认 后 ,等 待 B 发 出 的 连接 释放 报 文 段 。 第 三 次 握手 ,B 发 


出 连接 释放 报 文 段 , 报 文 段 首部 的 FIN 和 ACK 都 置 1, 序 号 seq= w( 在 半 关 闭 状态 B 可 能 
又 发 送 了 一 些 数据 ),B 还 必须 重复 上 次 已 发 送 过 的 确认 号 ack 二 u 十 1, 这 时 B 等 待 A 的 确 
认 。 第 四 次 握手 ,人 A 在 收 到 B 的 连接 释放 报 文 段 后 ,必须 对 此 发 出 确认 ,在 确认 报 文 段 中 把 
ACK 置 1, 确 认 号 ack 王 w 十 1, 而 自己 的 序号 是 seq 一 u 十 1。 


2.2.5 用 户 数据 报 协 议 


UDP 可 以 提供 面向 无 连接 的 ,不 可 靠 的 ,支持 点 对 点 、 点 对 多 点 的 快速 传输 。 

(1) UDP 是 无 连接 的 , 即 发 送 数据 之 前 不 需要 建立 连接 ,因此 减少 了 开销 和 发 送 数 据 
之 前 的 时 延 。 

(2) UDP 不 保证 可 靠 交付 ,使 用 尽 最 大 努力 交付 。 

(3) UDP 支持 一 对 一 ,一 对 多 、 多 对 一 和 多 对 多 的 交互 通信 。 

UDP 有 两 个 字段 ,数据 字段 和 首部 字段 。 首 部 字段 很 简单 ,只 有 8 字 节 ,如 图 2-12 所 
示 , 由 4 个 字段 组 成 ,每 个 字段 的 长 度 都 是 2 字 节 。 各 字段 的 意义 如 下 。 

字 节 2 和 2 2 
[LND 目的 端口 | 长 度 | 校 验 和 | 


UDP 首 部 UDP 的 数据 部 分 


图 2-12 UDP 的 首部 格式 


(1) 源 端口 : 写 人 源 端口 号 ,在 需要 对 方 回 信 时 选用 ,不 需要 时 可 用 全 0。 
(2) 目的 端口 : 写 人 目的 端口 号 。 

(3) 长 度 : UDP 用 户 数据 报 的 长 度 ,其 最 小 值 是 8( 仅 有 首部 ) 。 

(4) 校 验 和 : 检测 UDP 用 户 数据 报 在 传输 中 是 否 有 错 。 


2.3 TCP/IP 层次 安全 性 


网 络 体系 结构 设计 目标 是 实现 全 世界 主机 互联 互通 ,所 以 在 设计 时 只 注重 了 ”互联 ”, 而 
忽略 了 “安全 ”, 下 面 分 别 讨论 TCP/IP 每 一 层次 的 安全 性 问题 。 


2.3.1 网 络 接口 层 安全 


网 络 接口 层 对 应 OSI 参考 模型 的 物理 层 和 数据 链 路 层 。 

1. 物理 安全 

物理 层 的 安全 主要 指 网 络 设施 以 及 线路 的 安全 ,主要 包括 环境 安全 .电源 系统 安全 、 设 
备 安全 和 通信 线路 安全 。 

1) 环境 安全 

计算 机 网 络 通信 系统 的 运行 环境 应 按照 国家 有 关 标 准 设 计 实 施 ,应 具备 消防 报警 .安全 
照明 ,不 间断 供电 、 温 湿度 控制 系统 和 防盗 报警 ,以 保护 系统 免 受 水 、 火 、 有 害 气 体 、 地 震 、 静 
电 等 的 危害 。 
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2) 电源 系统 安全 

电源 是 所 有 电子 设备 正常 工作 的 能 量 源泉 ,在 信息 系统 中 占有 重要 地 位 。 电 源 安 全 主 
要 包括 电力 能 源 供应 、 输 电线 路 安全 ,保持 电源 的 稳定 性 等 。 

3) 设备 安全 

要 保证 硬件 设备 随时 处 于 良好 的 工作 状态 ,建立 健全 使 用 管理 规章 制度 ,建立 设备 运行 
日 志 。 同 时 注意 保护 存储 媒体 的 安全 性 ,包括 存储 媒体 自身 和 数据 的 安全 。 存 储 媒体 自身 
的 安全 主要 是 安全 保管 .防盗 . 防 毁 和 防 霉 ; 数据 安全 是 指 防止 数据 被 非法 复制 和 非法 
销毁 。 

4) 通信 线路 安全 

通信 设备 和 通信 线路 装置 的 安装 要 稳固 牢靠 ,具有 一 定 对 抗 自 然 因素 和 人 为 因素 破坏 
的 能 力 , 包 括 防止 电磁 信息 的 泄漏 、 线 路 截获 ,以 及 抗 电磁 干扰 。 

2. 网 络 监听 

网 络 监听 原本 是 网 络 管理 员 使 用 一 些 管理 工具 ,监视 网 络 的 状态 、. 数 据 的 流动 以 及 
网 络 上 传输 的 信息 。 但 是 网 络 监听 工具 也 是 黑客 们 常用 的 工具 , 当 信 息 以 明文 的 形式 在 
网 络 上 传输 时 , 便 可 以 使 用 网 络 监听 的 方式 来 获得 网 络 上 传输 的 敏感 信息 。 网 络 监听 可 
以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 调制 解 调 器 
之 间 等 。 

1) 网 络 监听 原理 

所 谓 “ 监 听 ” 技 术 , 就 是 在 互相 通信 的 两 台 计算 机 之 间 通 过 技术 手段 插入 一 台 可 以 接 
收 并 记录 通信 内 容 的 设备 ,以 最 终 实 现 对 通信 双方 的 数据 记录 。 例 如 ,如 图 2-13 所 示 ,在 
通信 主机 A 和 通信 主机 B 之 间 , 通 过 技术 手段 插入 一 台 监 听 设 备 , 即 可 实现 监听 。 但 需 
要 注意 的 是 ,一 般 都 要 求 用 作 监 听 途 径 的 设备 不 能 造成 通信 双方 的 行为 异常 或 连接 中 
断 , 即 监听 方 不 能 参与 通信 中 任何 一 方 的 通信 行为 ,仅仅 是 “被 动 ? 地 接收 记录 通信 数据 
而 不 能 对 其 进行 自 改 ,一 旦 监听 方 违反 这 个 要 求 , 这 次 行为 就 不 是 监听”, 而 是 “ 动 
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主机 A 监听 设备 主机 B 
图 2-13 监听 技术 原理 


2) 网 络 监听 实现 条 件 

实现 监听 要 求 监听 设备 的 物理 传输 介质 与 被 监听 设备 的 物理 传输 介质 存在 直接 联系 ， 
或 者 数据 包 能 经 过 路 由 选择 到 达 对 方 , 即 存在 逻辑 上 的 三 方 连接 。 

能 实现 监听 条 件 的 情况 如 下 : 

(1) 监听 方 与 通信 方 是 位 于 同一 物理 网 络 的 ,如 局 域 网 。 

(2) 监听 方 与 通信 方 存在 路 由 或 接口 关系 ,例如 通信 双方 有 同一 网 关 等 。 

3) 共享 式 局 域 网 内 的 监听 

(1) 什么 是 共享 式 局 域 网 。 

所 谓 “ 共 享 式 "局域网 , 指 早期 采用 集线器 (HUB) 作 为 网 络 连接 设备 的 传统 局 域 网 的 结 


构 , 如 图 2-14 所 示 。 在 这 个 结构 里 ,所 有 机 器 都 是 共享 同一 条 传输 线路 的 ,集线器 没有 端口 

主机 A 主机 B 主机 C 的 概念 , 它 的 数据 发 送 方 式 是 “广播 ”, 集 线 器 接收 到 相应 数据 
时 是 单纯 地 把 数据 往 它 所 连接 的 每 一 台 设 备 线路 上 发 送 。 

(2) 共享 式 局 域 网 工作 过 程 。 

共享 式 局 域 网 协议 的 工作 方式 是 将 要 发 送 的 数据 包 发 往 
连接 在 一 起 的 所 有 主机 ,在 包头 中 包括 应 该 接收 数据 包 的 主机 
的 正确 地 址 。 在 共享 式 局 域 网 中 ,填写 了 物理 地 址 的 帧 从 网 络 
接口 即 从 网 卡 中 发 送出 去 ,传送 到 物理 的 线路 上 , 当 发 送出 去 
的 信号 到 达 集 线 器 ,由 集线器 再 发 向 连接 在 集线器 上 的 每 一 条 
线路 ,于 是 ,在 物理 线路 传输 的 数字 信和 号 也 就 到 达 连 接 在 集 线 
器 上 的 每 一 台 主 机 。 数 字 信 号 到 达 一 台 主 机 的 网 络 接口 时 ,在 正常 情况 下 ,网 络 接口 读 入 数 
据 帧 ,然后 进行 检查 ,如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 ,或 者 物理 地 址 是 广播 地 址 ,将 
由 数据 帧 交 给 上 层 协 议 软件 , 即 IP 层 软 件 。 也 就 是 说 ,只 有 与 数据 包 中 目标 地 址 一 致 的 那 
台 主 机 才能 接收 数据 包 ,否则 就 将 这 个 帧 丢弃 。 对 于 每 一 个 到 达 网 络 接口 的 数据 帧 ,都 要 通 
过 这 个 过 程 。 例 如 ,在 图 2-14 中 ,主机 A 发 送 一 条 报 文 给 主机 B, 所 有 连接 在 这 个 局 域 网 中 
的 计算 机 都 会 收 到 这 条 报 文 , 但 是 只 有 主机 B 才 会 接收 处 理 这 条 报 文 ,而 其 他 计算 机 则 会 
抛弃 该 报 文 。 

(3) 共享 式 局 域 网 监听 的 实现 。 

当主 机 工作 在 监听 模式 下 ,主机 收 到 的 所 有 的 数据 帧 都 将 交 给 上 层 协 议 软件 处 理 。 也 
就 是 说 ,主机 A 发 送 报 文 给 主机 B, 主 机 C.D、E 都 接收 该 报 文 ,不 丢弃 报 文 。 所 以 ,共享 式 
局 域 网 结构 里 的 数据 实际 上 是 没有 隐私 性 的 ,我 们 希望 网 卡 会 丢弃 与 自己 无 关 的 报 文 , 但 实 
际 上 它 可 以 不 丢弃 ,只 需要 来 调整 网 卡 (网 络 接口 ) 的 工作 模式 为 混杂 模式 。 

每 块 网 卡 基 本 上 都 会 有 以 下 4 种 工作 模式 : 

。 广播 模式 (Broadcast) : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 广播 信息 。 

。 组 播 模 式 (Multicast) : 设置 在 该 模式 下 的 网 卡 能 够 接收 组 播 数 据 。 

。 直接 模式 (Unicast) : 在 这 种 模式 下 ,只 有 目的 网 卡 才能 接收 该 数据 。 

。 混杂 模式 (Promiscuous) : 在 这 种 模式 下 的 网 卡 能 够 接收 一 切 通 过 它 的 数据 ,而 不 

管 该 数据 是 否 是 传 给 它 的 。 

在 混杂 模式 里 .网 卡 对 报 文 中 的 目标 MAC 地 址 不 进行 任何 检查 而 全 部 接收 ,这 样 就 造 
成 网 卡 接收 所 有 路 过 的 数据 ,监听 就 是 从 这 里 开始 的 。 

4) 交换 式 局 域 网 内 的 监听 主机 A 主机 B 主机 Cc 

(1) 什么 是 交换 式 局 域 网 。 

作为 与 “共享 式 ” 相 对 的 “交换 式 ” 局 域 网 , 它 的 网 络 连 接 设 备 
被 换 成 了 交换 机 ,如 图 2-15 所 示 。 交 换 机 引入 了 “端口 ”的 概念 ， 
它 会 产生 一 个 地 址 表 用 于 存放 每 台 与 之 连接 的 计算 机 的 MAC 地 
址 ,从 此 每 个 网 络 接口 便 作为 一 个 独立 的 端口 存在 。 

(2) 交换 式 局 域 网 的 工作 过 程 。 

在 交换 式 局 域 网 中 ,除了 声明 为 广播 或 组 播 的 报 文 ,交换机 在 ”主机 D ”主机 E 
一 般 情况 下 是 不 会 让 其 他 报 文 出 现 类 似 共 享 式 局 域 网 那样 以 广播 ”图 2-15 交换 式 局 域 网 


主机 D ”主机 E 
图 2-14 共享 式 局 域 网 
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形式 的 发 送行 为 ,这 样 即使 网 卡 设置 为 混杂 模式 , 它 也 收 不 到 发 往 其 他 计算 机 的 数据 ,因为 
数据 的 目标 地 址 会 在 交换 机 中 被 识别 ,然后 有 针对 性 地 发 往 表 中 所 对 应 地 址 的 端口 。 例 如 ， 
在 图 2-15 中 ,主机 A 发 送 一 条 报 文 给 主机 B, 主 机 A 首先 将 报 文 发 送 给 交换 机 ,交换 机 会 
查看 报 文 中 的 目的 地 址 ,然后 交换 机 查找 自己 的 交换 表 , 根 据 目的 地 址 与 端口 的 对 应 关系 ， 
直接 将 报 文 发 送 给 主机 B。 

(3) 交换 式 局 域 网 监听 的 实现 。 

MAC 洪水 攻击 ,就 是 向 交换 机 发 送 大 量 含 有 虚假 MAC 地 址 和 IP 地 址 的 IP 包 , 使 交 
换 机 无 法 处 理 如 此 多 的 信息 而 引起 设备 工作 异常 , 即 所 谓 的 “失效 ?模式 。 在 这 个 模式 里 , 交 
换 机 的 处 理 器 已 经 不 能 正常 分 析 数 据 报 查询 地 址 表 了 ,然后 ,交换 机 就 会 成 为 一 台 普 通 的 集 
线 器 , 毫 无 选择 地 向 所 有 端口 发 送 数 据 ,这 个 行为 被 称 作 “ 泛 洪 发 送 ”, 这 样 一 来 攻击 者 就 能 
监听 到 所 需 数据 了 。 

5) 局 域 网 内 监听 的 防御 

(1) 从 逻辑 或 物理 上 对 网 络 分 段 。 

网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非法 监听 。 

(2) MAC 地 址 绑 定 。 

虽然 利用 ARP 欺骗 报 文 进行 的 网 络 监 听 很 难 察觉 ,但 它 并 不 是 无 法 防御 的 。 与 ARP 
寻 址 相对 的 ,在 一 个 相对 稳定 的 局 域 网 里 ,我 们 可 以 使 用 静态 ARP 映射 ,记录 下 局 域 网 内 
所 有 计算 机 的 网 卡 MAC 地 址 和 对 应 的 IP, 然 后 使 用 “arp -s IP 地 址 MAC 地 址 ?进行 静态 
绑 定 ,这 样 计 算 机 就 不 会 通过 ARP 广播 来 找 人 了 ,自然 不 会 响应 ARP 欺骗 工具 发 送 的 动 
态 ARP 应 答 包 (静态 地 址 的 优先 度 大 于 动态 地 址 ) 。 

(3) 使 用 软件 防御 。 

例如 Anti Arp Sniffer, 它 可 以 强行 绑 定 本 机 与 网 关 的 MAC 关系 ,让 伪装 成 网 关 获 取 数 据 
的 监听 机 成 为 摆设 ,如 果 监 听 者 仅仅 欺骗 了 某 台 计算 机 ,这 时 就 要 使 用 ARP Watch 了 ,ARP 
Watch 会 实时 监控 局 域 网 中 计算 机 MAC 地 址 和 ARP 广播 报 文 的 变化 情况 ,如 果 有 ARP 欺骗 
程序 发 送 虚假 地 址 报 文 , 必 然 会 造成 MAC 地 址 表 不 符 ,ARP Watch 就 会 弹出 来 警告 用 户 。 

(4) 划分 VLAN。 

对 网 络 进行 VLAN 划分 也 是 有 效 的 方法 ,每 个 VLAN 之 间 都 是 隔离 的 ,必须 通过 路 由 
进行 数据 传输 ,这 个 时 候 MAC 地 址 信息 会 被 丢弃 ,每 台 计 算 机 之 间 都 是 采用 标准 TCP/IP 
进行 数据 传输 的 ,即使 存在 监听 工具 也 无 法 使 用 虚假 的 MAC 地 址 进行 欺骗 。 

(5) 使 用 加 密 技 术 。 

数据 经 过 加 密 后 ,通过 监听 仍然 可 以 得 到 传送 的 信息 ,但 显示 的 是 乱码 。 使 用 加 密 技术 
的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 比 较 容 易 被 攻破 。 系 统管 理 员 和 用 户 需要 
在 网 络 速度 和 安全 性 上 进行 折 中 选择 。 


2.3.2 网 际 层 协议 安全 


1. IP 协议 安全 问题 及 防护 措施 
1) IP 窃听 
IP 数据 报 在 传递 过 程 中 易 被 攻击 者 监听 窃取 。 此 种 攻击 是 一 种 被 动 的 攻击 方式 , 攻 


击 者 并 不 改变 IP 数据 报 的 内 容 , 但 可 截取 IP 数据 报 , 解 析 数据 ,从 而 获得 数据 内 容 。 这 种 
类 型 的 攻击 很 难 被 检测 ,因为 攻击 过 程 并 不 影响 IP 数据 报 的 正确 传递 。 针 对 这 种 攻击 的 防 
御 方法 是 对 IP 数据 报 进行 加 密 。 

2) IP 地 址 假冒 

高 层 的 TCP 和 UDP 服务 在 接收 IP 数据 报时 ,通常 假设 数据 报 中 的 源 地 址 是 有 效 的 。 
事实 上 ,IP 层 不 能 保证 数据 报 一 定 是 从 源 地 址 发 送 的 。 任 意 一 台 主 机 都 可 以 发 送 具 有 任意 
源 地 址 的 IP 数据 报 。 攻 击 者 可 伪装 成 男 一 个 网 络 主 机 ,发 送 含 有 伪造 源 地 址 的 数据 包 以 欺 
骗 接收 者 。 针 对 此 种 攻击 可 以 通过 源 地 址 鉴别 机 制 加 以 防御 。 一 般 来 说 ,认证 需要 采用 高 
层 协 议 中 的 安全 机 制 来 实现 。 

3) IP 碎片 攻击 

在 传递 过 程 中 , 太 大 的 IP 数据 报 会 被 分 段 。 也 就 是 说 ,大 的 IP 数据 报 会 被 分 成 两 个 或 
多 个 小 数据 报 , 每 个 小 数据 报 都 有 自己 的 首部 ,但 其 数据 部 分 只 是 大 数据 报 数 据 的 一 部 分 。 
每 个 小 数据 报 可 以 经 由 不 同 的 路 径 到 达 接 收 方 。 在 传输 过 程 中 ,每 个 小 数据 报 可 能 会 继续 
被 分 段 。 当 这 些小 数据 报到 达 接 收 方 时 ,它们 会 被 重组 到 一 起 。 攻 击 者 可 以 发 送 大 量 的 小 
数据 报 来 破坏 包 过 滤器 的 正常 工作 。 

2. ARP 协议 安全 问题 及 防护 措施 

在 局 域 网 寻 址 方式 中 ,一 台 主 机 A 如 果 要 向 目标 主机 B 发 送 数据 ,无 论 主机 B 在 本 网 
段 还 是 在 远程 网 络 ,这 些 需 要 发 送出 去 的 数据 包 中 需要 4 种 必 不 可 少 的 地 址 : ( 源 IP 地 址 ， 
源 MAC 地 址 ) 十 (目的 IP 地址 ,目的 MAC 地 址 )。 当 主机 A 在 封装 数据 包 时 ,自然 知道 自 
己 的 IP 地 址 和 MAC 地 址 ,同时 还 知道 目标 的 IP 地 址 ,需要 得 到 B 的 MAC 地 址 。 通 过 
ARP 协议 ,主机 A 得 到 主机 也 的 MAC 地址, 并且 把 IP 地址 与 MAC 地 址 的 对 应 关系 放 在 
缓存 表 中 ,以 备 下 一 次 使 用 。 但 要 说 明 的 是 ,因为 考虑 到 主机 B 有 更 换 网 卡 的 可 能 ,所 以 无 
论 何 时 当主 机 A 再 次 收 到 关于 主机 B 的 MAC 地 址 信息 , 它 都 将 刷新 自己 的 ARP 缓存 表 ， 
将 新 收 到 的 MAC 地 址 和 主机 也 的 IP 地 址 对 应 起 来 , 正 因为 主机 A 在 任何 时 候 收 到 ARP 
数据 包 ,都 将 再 次 更 新 ARP 缓存 ,所 以 导致 了 ARP 欺骗 的 发 生 。 

如 图 2-16 所 示 ,假设 局 域 网 内 有 两 台 主 机 A 和 B 在 通信 ,而 主机 C 要 作为 一 个 监听 者 
得 到 这 两 台 主 机 的 通信 数据 ,那么 它 就 必须 想 办 法 让 自己 能 插入 两 台 主 机 之 间 的 数据 线路 
里 ,而 在 这 种 一 对 一 的 交换 式 网 络 里 ,主机 C 必须 成 为 一 个 中 间 设 备 才 能 让 数据 得 以 经 过 
它 , 要 实现 这 个 目标 ,主机 C 就 要 伪造 虚假 的 ARP 报 文 。 

地 址 表 : 192.168.8.212->00-12-D4-2A-78 地 址 表 : 192.168.8.112-00-12-D4-2A-78 
发 往 B 的 数据 人 ~ 发 往 A 的 数据 
一 伪造 ARP 应 答 一 一 sf 一 伪造 ARP 应 答 -一 
<S> 

Ba 由 C 返 回 的 原 B 数 据 
主机 A 主机 C( 监 听 者 ) 主机 B 


二 
由 C 发 送 的 原 A 数 据 
192.168.8.112 192.168.8.1 192.168.8.212 


01-1B-D4-39-4D 00-12-D4-2A-78 07-46-3B-11-68 
图 2-16 ARP 欺骗 
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如 果 现 在 主机 C 想 要 窃取 网 络 中 的 数据 ,那么 这 时 它 就 可 能 向 A 发 送 一 个 ARP 数据 
包 , 数 据 包 中 声称 主机 B 的 MAC 地 址 已 经 改变 ,当主 机 A 收 到 数据 包 后 ,得 知 此 消息 ,就 
立刻 更 新 原来 主机 也 的 MAC 地 址 , 当 它 要 和 主机 B 进行 通信 时 ,就 会 在 数据 包 中 封装 新 的 
MAC 地 址 ,如 果 这 个 MAC 地 址 是 主机 C 的 ,那么 主机 A 就 会 把 本 来 要 发 给 主机 B 的 数据 
错误 地 发 给 主机 C, 被 主机 C 监听 成 功 ,而 主机 C 为 了 掩 人 耳目 ,看 ”过 数据 后 ,再 发 给 主 
机 B, 从 而 不 影响 主机 A 和 主机 也 之 间 的 正常 通信 。 

实际 上 ,真实 环境 里 的 ARP 欺骗 除了 监听 主机 A 的 数据 ,通常 也 会 顺便 监听 主机 B 
的 数据 ,只 要 主机 C 在 对 主机 A 发 送 伪 装 成 主机 B 的 ARP 应 答 包 的 同时 也 向 主机 B 发 
送 伪装 成 主机 A 的 ARP 应 答 包 即 可 ,这 样 它 就 可 作为 一 个 双向 代理 插入 两 者 之 间 的 通 
信 链 路 。 建 立 静态 ARP 表 , 是 一 种 有 效 抵抗 ARP 欺骗 攻击 的 方法 ,而 且 对 系统 影响 
不 大 。 


2.3.3 传输 层 协 议 安全 


1. TCP 安全 问题 及 防护 措施 

TCP 的 三 次 握手 机 制 给 攻击 者 提供 了 可 以 利用 的 漏洞 。TCP 是 一 个 面向 连接 的 
协议 , 即 在 数据 传输 之 前 要 首先 建立 连接 ,然后 再 传输 数据 , 当 数 据 传输 完毕 后 释放 所 
建立 的 连接 。 攻 击 者 不 断 向 服务 器 的 监听 端口 发 送 建 立 TCP 连接 的 请 求 SYN 数据 
包 , 但 收 到 服务 器 的 SYN 包 后 却 不 回复 ACK 确认 信息 ,每 次 操作 都 会 使 服务 器 端 保 
留 一 个 半 开 放 的 连接 , 当 这 些 半 开放 连接 填 满 服务 器 的 连接 队列 时 ,服务 器 便 不 再 接 
受 后 续 的 任何 连接 请 求 , 这 种 攻击 属于 拒绝 服务 攻击 。 防 御 这 类 攻击 的 主要 思路 是 在 
服务 器 前 端 部 署 相 应 的 网 络 安全 设备 ,比如 防火 墙 设备 ,以 对 SYNFLOOD 攻击 数据 包 
进行 过 滤 。 

2. UDP 安全 问题 及 防护 措施 

DoS 攻击 是 一 种 常见 的 UDP 攻击 ,而 UDP Flood 攻击 又 是 DoS 攻击 中 最 普遍 的 流 
量 型 攻击 。 其 攻击 原理 是 ,攻击 源 发 送 大 量 的 UDP 小 包 到 攻击 目标 ,目标 可 以 是 服务 
器 或 者 网 络 设备 ,使 其 忙于 处 理 和 回应 UDP 报 文 ,使 系统 资源 耗 尽 ,最 后 导致 该 设备 
不 能 提供 正常 服务 或 者 直接 死机 ,严重 的 会 造成 全 网 闪 疯 。 使 用 UDP 进行 传输 的 应 
用 层 协 议 之 间 差 异 极 大 ,因此 不 同情 况 下 的 UDP 攻击 需要 采取 不 同 的 防护 手段 。 如 
果 攻 击 包 是 大 包 , 则 根据 攻击 包 大 小 设 定 包 碎 片 重 组 大 小 ,通常 不 小 于 1500 ,极端 情况 
下 可 以 考虑 丢弃 所 有 UDP 碎片 。 当 攻击 端口 为 业务 端口 ,根据 该 业务 设置 UDP 最 大 
包 以 过 滤 异 常 流量 。 当 攻击 端口 为 非 业务 端口 ,通常 通过 设置 UDP 连接 规则 ,要 求 所 
有 去 往 该 端口 的 UDP 包 必 须 首 先 与 TCP 端口 建立 TCP 连接 ,不 过 这 种 方法 需要 借助 
专业 安全 设备 。 


2.3.4 应 用 层 协 议 安 全 


1. HTTP 安全 问题 及 防护 措施 

由 于 HTTP 设计 之 初 未 进行 安全 方面 的 考虑 ,数据 是 直接 通过 明文 进行 传输 的 ,不 提 
供 任何 方式 的 数据 加 密 , 因 此 存在 较 大 的 安全 缺陷 。 

(1) 攻击 者 可 以 通过 网 络 嗅 探 工具 轻易 获得 明文 的 传输 数据 ,从 而 分 析出 特定 的 敏感 


信息 ,如 用 户 的 登录 口令 等 。 

(2) HTTP 是 一 种 无 状态 的 连接 ,在 传输 客户 端 请 求 和 服务 器 响应 时 ,唯一 的 完整 性 检 
验 就 是 在 报 文 头 部 包含 了 数据 传输 长 度 ,而 未 对 传输 内 容 进 行 消息 完整 性 检测 ,攻击 者 可 以 
轻易 算 改 传输 数据 ,发动 中 间 人 攻击 ,因此 HTTP 不 适合 传输 重要 信息 。 

针对 HTTP 的 这 些 安全 问题 , 超 文 本 传输 安全 协议 (Hyper Text Transfer Protocol 
Secure,HTTPS) 在 HTTP 和 TCP 之 间 增 加 了 安全 层 来 增强 安全 性 ,安全 层 主要 通过 安全 
套 接 层 (Secure Sockets Layer, SSL) 及 其 替代 协议 传输 层 安 全 协议 (Transport Layer 
Security,TLS) 实 现 。 与 HTTP 不 同 ,SSL 协议 通过 443 端口 进行 传输 ,主要 包含 记录 协议 
(SSL Record Protocol) 和 握手 协议 (SSL Handshake Protocol) ,记录 协议 确定 了 对 传输 层 
数据 进行 封装 ,具体 实施 加 密 解 密 、 计 算 和 校 验 等 安全 操作 。 握 手 协议 使 用 X. 509 认证 ， 
用 于 验证 传送 数据 ,协商 加 密 算 法 ,并 利用 非 对 称 加 密 算法 进行 身份 认证 和 生成 会 话 密 
钥 等 操作 ,从 而 对 通信 双方 交换 的 数据 加 密 , 保 证 客户 与 服务 器 之 间 的 通信 不 被 攻击 者 
窃听 。 

HTTPS 协议 通过 增加 安全 层 , 可 实现 双向 身份 认证 .生成 会 话 密 钥 .传输 数据 加 密 、 数 
据 完整 性 验证 和 防止 数据 包 重 放 攻 击 等 安全 功能 ,其 主要 改进 是 使 用 非 对 称 加 密 算法 在 不 
可 信和 的 互联 网 上 安全 传输 用 来 对 称 加 密 的 会 话 密 钥 ,从 而 建立 安全 信道 ,因此 很 多 银行 和 上 邮 
箱 等 安全 级 别 高 的 服务 都 使 用 HTTPS 协议 。 但 由 于 HTTPS 协议 会 额外 增加 握手 过 程 并 
对 数据 进行 加 密 , 因 此 会 在 一 定 程度 上 拖 慢 网 页 加 载 速度 。 

2. DNS 安全 问题 及 防护 措施 

在 正常 工作 模式 下 ,备份 服务 器 可 使 用 “区 转移 ”来 获得 域名 空间 中 所 属 信息 的 完整 
备份 ,黑客 也 常 使 用 这 种 方式 快速 获得 攻击 目标 列表 。 如 果 将 前 向 命名 和 后 向 命名 分 
离 , 可 能 会 带 来 安全 问题 ,黑客 若 能 够 掌控 部 分 反 向 映射 树 ,就 能 实施 欺骗 ,也 就 是 说 , 反 
向 记录 中 可 能 含有 可 依赖 的 那 台 主机 的 名 称 ( 伪 造 )。 攻 击 者 在 发 起 呼叫 之 前 ,会 扰乱 目 
标 主机 中 DNS 响应 的 高 速 缓存 , 当 目 标 主机 进行 交叉 检验 时 ,验证 结果 似乎 是 成 功 的 ,但 
此 时 黑客 却 已 经 获得 了 访问 权 。 另 外 ,黑客 采用 呼叫 响应 的 方式 来 淹没 目标 的 DNS 服务 
器 ,可 使 其 陷入 混乱 ,此 类 攻击 案例 十 分 常见 ,黑客 只 需 用 非常 简单 的 程序 就 可 以 捣毁 DNS 
的 高 速 缓存 。 

虽然 我 们 无 法 阻止 黑客 对 DNS 的 不 断 攻击 ,但 是 可 以 通过 采取 相应 的 措施 加 以 控制 ， 
如 可 以 对 授权 的 第 二 级 服务 器 限制 “区 转移 ”功能 的 使 用 。DNSsec 是 DNS 的 安全 扩展 ,由 
IETF 提供 的 一 系列 DNS 安全 认证 机 制 组 成 , 它 可 以 对 DNS 记录 进行 数字 签名 ,是 消除 欺 
骗 性 DNS 记录 的 最 简便 的 方法 。 当 某 个 区 的 所 有 者 有 不 良 动机 时 ,DNSsec 就 会 签署 一 个 
欺骗 性 的 记录 ,进而 可 以 有 效 防止 此 类 欺骗 。 此 外 ,对 域 的 签名 可 以 离线 进行 ,从 而 降低 了 
域 签名 私 钥 泄露 的 风险 。 虽 然 DNSsec 对 付 以 上 欺骗 攻击 很 有 效 ,但 也 有 一 些 不 足 之 处 ,所 
以 它 迄 今 还 没有 成 为 主流 的 DNS 查询 方式 。 


2.4 网络 安全 协议 


安全 协议 (Security Protocol) 又 称 密码 协议 ,是 建立 在 密码 体制 基础 上 的 一 种 交互 通信 
协议 , 它 运用 密码 算法 和 协议 逻辑 来 实现 认证 和 密 钥 分 配 等 目标 。 安 全 协议 可 用 于 保障 计 
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算 机 网 络 信息 系统 中 信息 的 秘密 安全 传递 与 处 理 ,确保 网 络 用 户 能 够 安全 方便、 透明 地 使 
用 系统 中 的 密码 资源 。 


2.4.1 网 络 各 层 相 关 的 安全 协议 


运行 在 网 络 各 层次 的 相关 安全 协议 及 其 内 容 如 表 2-4 所 示 。 
表 2-4 网 络 各 层 相 关 的 安全 协议 


层次 相关 协议 描 述 
Secure-Hyper Text Protocol 是 为 保证 WWW 的 安全 ,由 EIT 
S-HTTP (Enterprise Integration Technology Corp) 开 发 的 协议 ,利用 
MIME 基于 语言 本 进行 加 密 、 报 文 认证 及 密 钥 分 发 等 
ssH Secure Shell 是 对 BSD 系统 的 UNIX 的 rsh/rlogin 等 的 r 命 令 加 
密 而 采用 的 安全 技术 
SSL-telent 以 SSL 分 别 对 Secure Sockets Layer-telnet、 SSL-Simple Mail 
SSL-SMTP Transfer Protocol 和 SSL-Post Office Protocol Version3 等 的 应 
应 用 层 SSL=POP3 用 进行 加 密 
PET Privacy Enhanced Telnet 使 telnet 具有 加 密 功能 ,是 在 远程 登录 
时 对 连接 本 身 进 行 加 密 的 方式 
Secure/Multipurpose Internet Mail Extensions 是 利用 RSA Data 
S/MIME Secure 公司 提出 的 PKCS(Public-Key-Cryptography Standards) 
加 密 技术 实现 的 MIME 的 安全 功能 
DEE Pretty Good Privacy 是 Philip Zimmermann 开发 的 带 加 密 和 签 
名 功能 的 邮件 系统 
SSL Secure Sockets Layer 在 Web 服务 器 和 浏览 器 之 间 进 行 加 密 
传输 层 TLS Transport Layer Security 是 将 SSL 通用 化 的 协议 
Socks v5 防火 墙 及 VPN 用 的 数据 加 密 及 认证 协议 
Internet Protocol Security Protocol, 以 IPSec 通信 时 通信 对 象 的 
网 各 层 We 密 钥 交换 方式 使 用 Te Key ei 
PPTP Point to Point Tunneling Protocol 
数据 链 路 层 L2F Layer2 Forwarding 
这 Layer2 Tunneling Protocol 综合 了 PPTP 和 L2F 协议 


2.4.2 IPSec 协议 


IPSec(IP Security Protocol,IP 安全 协议 ) 在 IPv6 的 制定 过 程 中 产生 ,用 于 提供 IP 层 
的 安全 性 。 由 于 所 有 支持 TCP/IP 的 主机 在 进行 通信 时 都 要 经 过 IP 层 的 处 理 , 所 以 提供 了 
IP 层 的 安全 性 就 相当 于 为 整个 网 络 提供 了 安全 通信 的 基础 。 鉴 于 IPv4 的 应 用 仍然 很 广 
泛 , 后 来 在 IPSec 的 制定 中 也 增添 了 对 IPv4 的 支持 。 

IPSec 标准 最 初 由 IETF 于 1995 年 制定 ,但 由 于 其 中 存在 一 些 未 解决 的 问题 ,从 1997 
年 开始 IETF 又 开展 了 新 一 轮 的 IPSec 标准 的 制定 工作 ,1998 年 11 月 ,主要 协议 已 经 基本 
制定 完成 。 由 于 这 组 新 的 协议 仍然 存在 一 些 问题 ,IETF 将 来 还 会 对 其 进行 修订 。 


IPSec 涉及 的 一 系列 RFC 标准 文档 如 下 。 

。 RFC 2401: IPSec 系统 结构 

。 RFC 2402: 认证 首部 协议 (AH) 

。 RFC 2406: 封装 净 荷 安全 协议 (ESP) 

。 RFC 2408: 因特网 安全 联盟 和 密 钥 管 理 协议 (ISAKMP) 

。 RFC 2409: 因特网 密 钥 交换 协议 (IKE) 

。 RFC 2764: 基本 框架 文档 

。 RFC 22631: Diffie-Hellman 密 钥 协商 方案 

。SKEME 

IPSec 是 一 组 开放 标准 集 ,它们 协同 地 工作 来 确保 对 等 实体 之 间 的 数据 机 密 性 、 数 据 完 
整 性 以 及 数据 认证 。 这 些 对 等 实体 可 能 是 一 对 主机 或 是 一 对 安全 网 关 ( 路 由 器 、 防 火 墙 、 
VPN 集中 器 等 ) ,或 者 它们 可 能 在 一 个 主机 和 一 个 安全 网 关 之 间 ,就 像 远 程 访问 VPN 的 情 
况 。IPSec 能 够 保护 对 等 实体 之 间 的 多 个 数据 流 ,并 且 一 个 单一 网 关 能 够 支持 不 同 的 成 对 
的 合作 伙伴 之 间 的 多 条 并 发 安全 IPSec 隧道 。 

IPSec 保护 涉及 5 个 主要 组 件 。 

(1) 安全 协议 : IP 数据 报 保护 机 制 。 验 证 头 (Authentication Header, AH) 对 IP 包 进 
行 签名 并 确保 其 完整 性 。 数 据 包 的 内 容 没 有 加 密 , 但 是 可 以 向 接收 者 保证 包 的 内 容 尚 未 更 
改 , 还 可 以 向 接收 者 保证 包 已 由 发 送 者 发 送 。 封装 安 全 载荷 (Encapsulating Security 
Payload,ESP) 对 IP 数据 进行 加 密 , 因 此 在 包 传 输 过 程 中 会 遮蔽 内 容 。 

(2) 安全 关联 数据 库 (Security Associations Database, SADB): 将 安全 协议 与 IP 目标 
地 址 和 索引 号 进行 关联 的 数据 库 。 索 引号 称 为 安全 参数 索引 (Security Parameter Index， 
SPI) ,安全 协议 IP 目标 地 址 和 SPI 三 个 元 素 唯一 标识 合法 的 IPSec 包 。 此 数据 库 确 保 到 
达 包 目的 地 的 受 保 护 包 可 由 接收 者 识别 。 接 收 者 还 可 使 用 数据 库 中 的 信息 解密 通信 、 检 验 
包 未 曾 受到 更 改 .重新 组 装 包 并 将 包 发 送 到 其 最 终 目的 地 。 

(3) 密 钥 管理 : 针对 加 密 算法 和 SPI 生成 和 分 发 密 钥 。 

(4) 安全 机 制 : 用 于 保护 IP 数据 报 中 的 数据 的 验证 和 加 密 算法 。 

(5) 安全 策略 数据 库 (Security Policy Database,SPD): 用 于 指定 要 应 用 到 包 的 保护 级 
别 的 数据 库 。SPD 过 滤 IP 通信 来 确定 应 该 如 何 处 理 包 。 包 可 能 被 废弃 ,可 以 毫 无 阻碍 地 
进行 传送 ,也 可 以 受到 IPSec 的 保护 。 对 于 外 发 包 ,SPD 和 SADB 确定 要 应 用 的 保护 级 别 。 
对 于 传人 包 ,SPD 帮助 确定 包 的 保护 级 别 是 否 可 接受 。 如 果 包 受 IPSec 保护 ,将 在 对 包 进 行 
解密 和 验证 之 后 参考 SPD。 

IPSec 将 安全 机 制 应 用 于 发 往 IP 目标 地 址 的 IP 数据 报 。 接 收 者 使 用 其 SADB 中 的 信 
息 来 检验 到 达 的 包 是 否 合法 并 对 其 进行 解密 。 应 用 程序 也 可 以 调用 IPSec, 以便 在 每 个 套 
接 字 级 别 将 安全 机 制 应 用 于 IP 数据 报 。 

1. IPSec 的 工作 原理 

IPSec 的 工作 原理 类 似 于 包 过 滤 防 火 墙 ,可 以 把 它 看 作 是 包 过 滤 防 火 墙 的 一 种 扩展 。 
IPSec 通过 查询 安全 策略 数据 库 (Security Policy Database,SPD) 决 定 如 何 对 接收 到 的 IP 数 
据 报 进行 处 理 。 但 是 IPSec 与 包 过 滤 防 火 墙 不 同 , 它 对 IP 数据 报 的 处 理 方法 除了 丢弃 和 直 
接 转发 ( 绕 过 IPSec) 外 ,还 可 以 对 数据 包 进行 IPSec 处 理 。 正 是 这 种 新 增添 的 处 理 方法 ,使 
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VPN 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 。 

进行 IPSec 处 理 意味 着 对 IP 数据 报 进行 加 密 和 认证 。 包 过 滤 防 火 墙 只 能 控制 来 自 或 
去 往 某 个 站 点 的 IP 数据 报 的 通过 , 即 它 可 以 拒绝 来 自 某 个 外 部 站 点 的 IP 数据 报 访问 内 部 
网 络 资源 ,也 可 以 拒绝 某 个 内 部 网 络 用 户 访问 某 些 外 部 网 站 。 但 是 包 过 滤 防 火 墙 不 能 保证 
自 内 部 网 络 发 出 的 数据 包 不 被 截取 ,也 不 能 保证 进入 内 部 网 络 的 数据 包 未 经 算 改 。 只 有 在 
对 IP 数据 报 实施 了 加 密 和 认证 后 ,才能 保证 在 公用 网 络 上 传输 数据 的 机 密 性 、 认 证 性 和 完 
整 性 。 

IPSec 既 可 以 对 IP 数据 报 只 进行 加 密 或 认证 ,也 可 以 同时 实施 加 密 和 认证 。 但 无 论 
是 进行 加 密 还 是 进行 认证 ,IPSec 都 有 两 种 工作 模式 : 一 种 是 传输 模式 ; 另 一 种 是 隧道 
模式 。 

1) 传输 模式 

采用 传输 模式 时 ,IPSec 只 对 IP 数据 报 的 净 荷 进行 加 密 或 认证 。 此 时 ,封装 数据 包 继 
续 使 用 原 IP 头 部 ,只 对 IP 头 部 的 部 分 域 进行 修改 ,而 IPSec 协议 头 部 插入 到 原 IP 头 部 和 
传输 层 头 部 之 间 。IPSec 传输 模式 如 图 2-17 所 示 。 
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图 2-17 IPSec 的 传输 模式 的 AH 和 ESP 封装 示意 图 


2) 隧道 模式 

采用 隧道 模式 时 ,IPSec 对 整个 IP 数据 报 进行 加 密 或 认证 。 此 时 ,需要 产生 一 个 新 的 
IP 头 ,IPSec 头 被 放 在 新 产生 的 IP 头 和 原 IP 数据 报 之 间 , 从 而 组 成 一 个 新 的 IP 头 。IPSec 
隧道 模式 如 图 2-18 所 示 。 


原 IP 头 | TCP/UDP 头 数据 内 容 
1 1 


新 IP 头 ESP 头 原 IP 头 | TCP/UDP 头 数据 内 容 ESP 尾 
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图 2-18 IPSec 隧道 模式 的 AH 封装 示意 图 


2. IPSec 中 的 主要 协议 

IPSec 协议 的 主要 功能 为 加 密 和 认证 。 为 了 进行 加 密 和 认证 ,IPSec 还 需要 有 密 钥 的 管 
理 和 交换 功能 ,以 便 为 加 密 和 认证 提供 所 需要 的 密 钥 并 对 密 钥 的 使 用 进行 管理 。 以 上 三 方 
面 的 工作 分 别 由 AH、ESP 和 IKE 三 个 协议 来 实现 。 为 了 介绍 这 三 个 协议 ,需要 先 引 入 一 
个 非常 重要 的 术语 一 一 安全 关联 (Security Association, SA)。 所 谓 安 全 关联 ,是 指 安全 服 
务 与 它 服务 的 载体 之 间 的 一 个 “连接 ”。AH 和 ESP 的 实现 都 需要 SA 的 支持 ,而 IKE 的 主 
要 功能 就 是 建立 和 维护 SA。 

如 果 要 用 IPSec 建立 一 条 安全 的 传输 通路 ,通信 双方 需要 事先 协商 好 将 要 采用 的 安 
全 策略 ,包括 使 用 的 加 密 算法 、 密 钥 、 密 钥 的 生存 期 等 。 当 双方 协商 好 使 用 的 安全 策略 后 ， 
通常 就 说 双方 建立 了 一 个 SA。 给 定 了 一 个 SA ,就 确定 了 IPSec 要 执行 的 处 理 , 如 加 密 、 认 

1) AHCAuthentication Header, 认 证 头 ) 

RFC2402 的 作者 设计 了 AH 协议 来 防御 中 间 人 攻击 。RFC2402 对 AH 协议 进行 了 极 
为 详细 的 定义 ,将 AH 服务 定义 如 下 : 

。 非 连接 的 数据 完整 性 校 验 
。 数据 源 点 认证 
。 可 选 的 抗 重 放 服 务 

AH 有 两 种 实现 方式 : 传输 方式 和 隧道 方式 。 当 AH 以 传输 方式 实现 时 , 它 主要 提供 
对 高 层 协议 的 保护 ,因为 高 层 的 数据 不 进行 加 密 。 当 AH 以 隧道 方式 实现 时 ,协议 被 应 用 
于 通过 隧道 的 IP 数据 报 。 

AH 只 涉及 认证 ,不 涉及 加 密 。AH 虽然 在 功能 上 与 ESP 有 重复 之 处 ,但 AH 除了 可 
以 对 IP 的 净 荷 进行 认证 外 ,还 可 以 对 IP 头 实施 认证 ,而 ESP 的 认证 功能 主要 是 面向 IP 的 
净 荷 。 为 了 提供 最 基本 的 功能 并 保证 互 操作 性 ,AH 必须 提供 对 HMAC SHA 和 HMAC 
MD-5CHMAC 是 由 杂凑 函数 SHA 和 MD-5 构造 的 消息 认证 码 ) 的 支持 。 

AH 的 长 度 是 可 变 的 ,但 必须 是 32 位 数据 报 IP 数 据 包 中 被 加 密 保护 的 部 分 
长 度 的 倍数 。AH 域 被 细 分 为 几 个 子 域 ,其 中 包含 
为 IP 数据 报 提供 密码 保护 所 需 的 数据 ,如 图 2-19 | I | 认证 头 (AH) | 。 高 层 咸 
所 示 。 Ee TS 

数据 源 点 认证 是 IPSec 的 强制 性 服务 , 它 实 际 


“下 -个 大 | 融 符 长 度 | 保留 以 后 便 让 


上 提供 了 对 源 点 身份 数据 的 完整 性 保护 。 提 供 该 (8 位 ) (8 位 ) (16 们 ) 
保护 所 需 的 数据 包含 在 AH 的 两 个 子 域 中 ,一 个 子 安全 参数 序列 (SP1，32 位 ) 

域 称 为 “安全 参数 索引 ”(Security Parameters 序列 号 域 (32 位 ) 
Index,SPI) ,包含 长 32 位 的 某 个 任意 值 ,用 于 唯一 认证 数据 (32 位 分 组 的 倍数 ) 
标识 该 IP 数据 报 认 证 服务 所 采用 的 密码 算法 ; 男 ” 图 2-19 认证 头 的 结构 及 其 在 IP 数据 报 
一 个 子 域 称 为 “认证 数据 ”, 包 含 消息 发 送 方 为 接收 中 的 位 置 


方 生 成 的 认证 数据 ,用 于 接收 方 进行 数据 完整 性 验 
证 ,因此 这 部 分 数据 也 被 称 为 完整 性 校 验 值 (Integrity Check Value,ICV)。 该 IP 数据 报 的 第 
接收 方 能 够 使 用 密 钥 和 SPI 所 标识 的 算法 重新 生成 “认证 数据 ”, 然 后 将 其 与 接收 的 “认证 数 


网 络 基 础 


网 络 安 会 基础 


据 ? 相 比较 ,从 而 完成 ICV 校 验 。 

AH 还 有 一 个 “序列 号 ” 子 域 ,用 来 抵御 IP 数据 报 重 放 攻击 。AH 的 子 域 (包括 “下 一 个 
头 “ 载 荷 长 度 ” 和 “保留 以 后 使 用 ”) 都 没有 安全 方面 的 意义 。 

2) ESP 

ESP(Encapsulating Security Payload) 协 议 主 要 用 于 对 IP 数据 报 进行 加 密 , 此 外 也 对 
认证 提供 某 种 程度 的 支持 。ESP 独立 于 具体 的 加 密 算 法 ,几乎 可 以 支持 各 种 对 称 密 钥 加 密 
算法 ,如 DES TripleDES 和 RC5 等 。 为 保证 各 种 IPSec 实现 之 间 的 互 操作 性 ,目前 要 求 
ESP 必须 支持 56 位 密 钥 长 度 的 DES 算法 。ESP 的 格式 如 图 2-20 所 示 。 


安全 参数 索引 (SPI，32 位 ) 
序列 号 域 (32 位 ) 
载荷 数据 (32 位 分 组 的 倍数 ) 
填充 数据 (0 一 255 字 节 ) 
填充 长 度 (8 位 ) | 下 一 个 头 (8 位 ) 
认证 数据 (32 位 分 组 的 倍数 ) 


图 2-20 ESP 格式 


ESP 协议 数据 单元 格式 由 三 部 分 组 成 ,除了 头 部 .加 密 数 据 部 分 外 ,在 实施 认证 时 还 
包含 一 个 可 选 尾 部 。 头 部 有 两 个 域 : 安全 参数 索引 (SPI) 和 序列 号 (Sequence Number) 
域 。 使 用 ESP 进行 安全 通信 之 前 ,通信 双方 需要 先 协商 好 一 组 将 要 采用 的 加 密 策略 , 包 
括 所 使 用 的 加 密 算 法 、 密 钥 及 密 钥 的 有 效 期 等 。SPI 用 来 标识 发 送 方 在 处 理 IP 数据 报时 
使 用 了 哪 组 加 密 策略 , 当 接 收 方 看 到 了 这 个 标识 后 就 知道 如 何 处 理 收 到 的 IP 数据 报 。 
“序列 号 ”用 来 区 分 使 用 同一 组 加 密 策略 的 不 同 数据 包 。 被 加 密 的 数据 部 分 除了 包含 原 
IP 数据 报 的 净 荷 外 ,还 包括 填充 数据 。 填 充 数 据 是 为 了 保证 加 密 数 据 部 分 的 长 度 满足 分 
组 加 密 算法 的 要 求 。 这 两 部 分 数据 在 传输 时 要 进行 加 密 。“ 下 一 个 头 ”(Next Header) 用 
来 标识 净 荷 部 分 所 使 用 的 协议 , 它 可 能 是 传输 层 协议 (TCP 或 UDP) ,也 可 能 是 IPSec 协 
议 (ESP 或 AH) 。 

3) IKE 

因特网 密 钥 交换 协议 (Internet Key Exchange,IKE) 用 于 动态 建立 安全 关联 (Security 
Associationg,SA)。 由 RFC2409 描述 的 IKE 属于 一 种 混合 型 协议 。IKE 使 用 两 个 阶段 的 
ISAKMP: 在 第 一 阶段 ,通信 各 方 彼此 建立 一 个 已 通过 身份 认证 和 安全 保护 的 通道 , 即 建立 
IKE 安全 关联 ; 在 第 二 阶段 ,利用 这 个 既定 的 安全 关联 为 IPSec 建立 安全 通道 。IKE 图 解 
如 图 2-21 所 示 。 

IKE 定义 了 两 个 阶段 : 阶段 1 交换 和 阶段 2 交换 。Oakley 定义 了 三 种 模式 ,分 别 对 应 
ISAKMP 的 三 个 阶段 : 快速 模式 、 主 模式 和 野蛮 模式 。 在 阶段 1 交换 ,IKE 采用 的 是 身份 保 
护 交换 (* 主 模式 ”交换 ) ,以 及 根据 ISAKMP 文档 制定 的 “野蛮 模式 ”交换 ; 在 阶段 2 交换 ， 
IKE 则 采用 了 一 种 “快速 模式 ”交换 。 

ISAKMP 通过 IKE 对 以 下 几 种 密 钥 交换 机 制 提供 支持 : 

。 预 共享 密 钥 (PSK) 


ISAKMP 一 一 密 钥 管理 框架 
一 一 指示 实现 使 用 的 UDP500 端 口 


| | 


长 E 一 一 协议 使 用 UDP500 端 口 


Oakley 密 钥 确定 和 SKEME 


(a) IKE 建 立 SA 


(b) IPSec 可 以 建立 安全 通道 
图 2-21 IKE 图 解 


。 公 钥 基础 设施 (PKI) 

。 IPSec 实体 身份 的 第 三 方 证 书 

预 共享 密 钥 (Preshared Secret Key,PSK) 机 制 实质 上 是 一 种 简单 的 口令 方法 。 在 
IPSec VPN 网 关上 预 设 常 量 字 符 串 ,通信 双方 据 此 共享 秘密 实现 相互 认证 。 总 之 ,IKE 可 
以 动态 地 建立 安全 关联 和 共享 密 钥 。IKE 建立 安全 关联 的 实现 极为 复杂 。 一 方面 , 它 是 
IPSec 协议 实现 的 核心 ; 另 一 方面 , 它 也 很 可 能 成 为 整个 系统 的 瓶颈 。 进 一 步 优化 IKE 程 
序 和 密码 算法 是 实现 IPSec 的 核心 问题 之 一 。 

3. 安全 关联 

IPSec 的 中 心 概念 之 一 是 “安全 关联 ”(Security Association ,SA)。 从 本 质 上 讲 ,IPSec 
可 被 视 为 AH 十 ESP。 当 两 个 网 络 节 点 在 IPSec 保护 下 通信 时 ,它们 必须 协商 一 个 SA( 用 
于 认证 ) 或 两 个 SA( 分 别 用 于 认证 和 加 密 ) ,并 协商 这 两 个 节点 间 所 共享 的 会 话 密 钥 以 便 
它们 能 够 执行 加 密 操作 。 要 在 两 个 安全 网 关 之 间 建立 安全 双 工 通信 ,需要 为 每 个 方向 建 
立 一 个 SA。 在 IPSec 当前 的 实现 方案 中 ,SA 管理 机 制 只 定义 了 单一 特性 的 SA。 这 意味 
着 当前 的 SA 只 能 建立 点 到 点 的 通信 。 在 未 来 ,增强 功能 将 会 支持 点 到 点 及 一 点 到 多 点 
的 通信 。 

每 个 SA 的 标识 由 三 部 分 组 成 : 

。 安全 性 参数 索引 , 即 SPI 

。 IP 目 的 地 址 

。 安全 协议 标识 , 即 AH 或 ESP 

如 前 所 述 ,SA 有 两 种 模式 , 即 传输 模式 和 隧道 模式 。 传 输 模式 下 的 SA 是 两 个 主机 间 
的 安全 关联 ; 隧道 模式 下 的 SA 只 适用 于 IP 隧道 。 如 果 在 两 个 安全 网 关 之 间 或 一 个 安全 网 
关 和 一 个 主机 之 间 建 立 安全 关联 ,那么 此 SA 必须 使 用 隧道 模式 。 

当然 ,也 可 以 将 不 同 的 SA 组 合 起 来 使 用 ,以 提供 多 层次 的 安全 性 或 封装 能 力 。 当 对 
SA 进行 组 合 时 ,组 合 结果 被 称 为 一 个 SA 束 。 此 时 ,IPSec 在 对 传输 数据 进行 处 理 时 ,也 必 
须 使 用 一 系列 的 安全 关联 。 
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一 、 填空 题 

1. OSI 参考 模型 包括 物理 层 、( ) .网 络 层 ,传输 层 ,会 话 层 、 表 示 层 和 应 用 层 。 
2 ) 是 OSI 参考 模型 的 第 1 层 。 

3. 在 OSI 参考 模型 中 控制 网 络 层 与 物理 层 之 间 的 通信 的 是 ( i 

4. TCP/IP 由 4 个 层次 组 成 ,分 别 是 ( ) 网络 层 、 传 输 层 和 应 用 层 。 

-A ) 又 称 为 网 际 协议 ,是 支持 网 间 互 联 的 数据 报 协议 。 

6. IPSec 的 主要 功能 是 实现 加 密 、 认 证 和 密 钥 交换 ,这 三 个 功能 分 别 由 ( ) 


和 ( ) 三 个 协议 来 实现 。 
二 、 选 择 题 
Ee ) 指 令 可 以 发 现 到 达 目 标 网 络 经 过 哪些 路 由 器 。 
A. ping B. nslookup C. tracert D. ipconfig 


2. 为 了 检测 Windows 系统 是 否 有 木马 入 侵 , 可 以 先 通过 ( ) 命 令 来 查看 当前 的 活 
动 连接 端口 。 
A. ipconfig B. netstat -an C. tracert D. ping 
3. ARP 欺骗 的 实质 是 ( Ys 
A. 提供 虚假 的 MAC 和 IP 地址 的 组 合 B. 让 其 他 计算 机 知道 自己 的 存在 
C. 窃取 用 户 在 网 络 中 传输 的 数据 D. 扰乱 网 络 的 正常 运行 
4. 在 Windows 操作 系统 中 ,对 网 关 IP 和 MAC 地 址 进行 绑 定 的 操作 为 ( ) 。 
A. ARP -a 192. 168. 1. 1 00-0a-03-aa-5d-ff 
B. ARP -d 192. 168. 1. 1 00-0a-03-aa-5d-ff 
C. ARP -s 192. 168. 1. 1 00-0a-03-aa-5d-ff 
D. ARP -g 192. 168. 1. 1 00-0a-03-aa-5d-f{f 
5. 当 用 户 通过 域名 访问 某 一 合法 网 站 时 ,打开 的 却 是 一 个 不 健康 的 网 站 ,发生 该 现象 
的 原因 可 能 是 ( ys 
A. ARP 欺骗 B. DHCP 欺骗 
C. TCP SYN 攻击 D. DNS 缓存 中 毒 
6. 一 个 IP 数据 报 由 首部 和 数据 两 部 分 组 成 ,首部 的 前 一 部 分 是 固定 长 度 , 共 ( ) 字 
节 , 是 所 有 IP 数据 报 必须 具有 的 。 


A.8 B. 16 C. 20 D. 32 
7.( ”) 是 TCP/IP 协议 族 的 子 协议 ,用 于 在 IP 主机、 路 由 器 之 间 传 递 控制 报 文 。 
A. ICMP B. ARP te .TCP 
8. (人 ) 命 令 可 以 删除 ARP 表 中 的 所 有 内 容 。 
A. arp -a B. arp -b CGC arp=e D. arp -d 
9.( ”) 命 令 可 以 观察 主机 的 ARP 缓存 表 。 
A. arp -a B. arp -b CG: Pp D. arp -d 
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) 可 以 提供 面向 无 连接 的 ,不 可 靠 的 ,支持 点 对 点 、 点 对 多 点 的 快速 传输 。 


IP D. ICMP 
GRE D. 以 上 皆 是 
NULL 

. 以 上 皆 是 

. HMAC-SHA1 


. HMAC-RIPEMD-160 


. 仅 NULL 
.3DES-CBC 


;. GRE D. 以 上 缘 是 


AH、ESP 
以 上 皆 是 


网 络 D. 数据 链 路 


IKE D. ESP 


.ICMP 的 一 个 重要 应 用 就 是 分 组 间 探 测 ping, 用 来 测试 两 个 主机 之 间 的 连通 性 。 


四 、 


A. TCP B. UDP & 
IPSec 协议 和 ( )VPN 隧道 协议 处 于 同一 层 。 
A. PPTP B. L2TP 人 
AH 协议 中 必须 实现 的 验证 算法 是 ( 

A. HMAC-MD5 和 HMAC-SHAI1 B: 
C. HMAC-RIPEMD-160 D 
ESP 协议 中 不 是 必须 实现 的 验证 算法 是 ( ) 。 
A. HMAC-MD5 B 
c. NULL D 
ESP 协议 中 必须 实现 的 加 密 算法 是 ( 

A. 仅 DES-CBC B 
C. DES-CBC 和 NULL D 
( ) 协 议 必须 提供 验证 服务 。 

A. AH B. ESP C 
IKE 协议 由 ( ) 协 议 混合 而 成 。 

A. ISAKMP,Oakley.SKEME B. 
C. L2TP.\GRE D. 

. IPSec 在 OSI 参考 模型 的 ( ) 层 提供 安全 性 。 

A. 应 用 B. 传输 CG 

.IPSec 中 的 加 密 是 由 ( ) 完 成 的 。 

A. AH B. TCP/IP 人 
、 判 断 题 

. TCP/IP 体系 有 7 个 层次 ,ISO/OSI 体系 有 4 个 层次 。 

. ARP 的 作用 是 将 物理 地 址 转化 为 IP 地 址 。 

. ARP 欺骗 只 会 影响 主机 ,而 不 会 影响 交换 机 和 路 由 器 等 设备 。 

. ICMP 报 文 是 在 IP 数据 报 内 部 被 传输 的 。 

简 答题 
.OSI 参考 模型 是 什么 ? TCP/IP 模型 是 什么 ? (由 低 到 高 ) 
. TCP 与 UDP 的 区 别 是 什么 ? 


3. IPSec 有 哪 两 种 工作 模式 ? 两 种 工作 模式 有 什么 不 同 ? 


第 3 章 网 络 攻击 技术 


【本 章 学 习 目标 】 

。 了 解 黑客 概念 和 黑客 分 类 

。 掌握 网 络 攻 击 的 定义 

。 理解 黑客 攻击 步骤 

”掌握 代理 跳板 的 原理 和 方法 

。 了 解 信息 搜集 的 种 类 

。 掌握 网 络 扫描 的 步骤 

。 掌握 操作 系统 探测 技术 原理 

。 了解 各 种 网 络 攻击 方法 

掌握 DDoS 攻击 原理 与 防御 方法 


3.1 黑 客 


3.1.1 黑客 概念 


黑客 是 Hacker 的 音译 , 源 于 动词 Hack, 其 引申 意义 是 “ 干 了 一 件 非常 漂亮 的 事 ”。 在 
这 里 我 们 所 说 的 黑客 是 指 那些 精 于 某 方面 技术 的 人 。 对 于 计算 机 而 言 , 黑 客 就 是 精通 网 络 、 
系统 、 外 设 以 及 软 硬 件 技术 的 人 。 

黑客 最 早出 现 于 20 世纪 50 年 代 , 最 早 的 计算 机 于 1946 年 在 宾夕法尼亚 大 学 诞生 ,而 
最 早 的 黑客 出 现 于 麻 省 理工 学 院 。 最 初 的 黑客 是 一 些 高 级 技术 人 员 ,他 们 热衷 于 挑战 .崇尚 
自由 并 主张 信息 的 共享 。 但 到 了 今天 ,黑客 一 词 已 被 泛 指 那些 专门 利用 计算 机 搞 破 坏 或 恶 
作 剧 的 家 伙 , 对 这 些 人 的 正确 叫 法 是 Cracker, 有 人 也 翻译 成 骇 客 或 是 入 侵 者 。 


3.1.2 黑客 分 类 


第 一 种 分 类 是 将 黑客 分 为 破坏 者 、 红 客 和 间谍 ,如 图 3-1 所 示 。 

(1) 破坏 者 : 以 破坏 为 主 的 黑客 。 

(2) 红 客 : 红 客 一 词 比 较 容易 理解 ,有 很 强 的 政治 性 , 红 客 的 行为 则 在 抗击 外 来 网 络 入 
侵 ,维护 国内 网 络 安全 ,有 很 强 的 爱国 色彩 。 

(3) 间谍 : 专门 为 了 利益 而 去 做 一 些 破坏 或 窃取 一 些 信息 。 

第 二 种 分 类 是 将 黑客 分 为 白 帽 子 、 黑 帽子 和 灰 帽 子 。 

(1) 白 帽子 : 是 创新 者 。 研 究 漏 洞 , 追 求 先进 技术 并 与 大 家 共享 的 黑客 称 为 “ 白 帽 子 ”。 
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(2) 黑 帽 子 : 是 破坏 者 。 以 破坏 和 入 侵 为 目的 的 黑客 称 为 黑 帽子 ”。 
(3) 灰 帽 子 : 是 破解 者 。 介 于 以 上 二 者 之 间 的 叫 作 * 灰 帽子 ,这 是 一 个 追求 网 上 信息 
公开 的 群体 ,他们 不 破坏 ,但 要 进入 别人 的 网 站 读 取信 息 。 


找 点 刺激 
搞 恶作剧 


谁 给 的 钱 
多 给 谁 干 


破坏 者 


3.1.3 黑客 行为 发 展 趋势 


黑客 行为 有 以 下 7 个 方面 的 发 展 趋势 。 

(1) 手段 高 明 化 : 综合 各 种 流行 的 攻击 方法 ,技巧 性 更 强 , 更 容易 得 手 。 例 如 ,guest 账 
户 显示 为 禁用 状态 ,但 能 用 其 登录 而 且 拥 有 管理 员 权 限 ,这 就 用 到 了 留 后 门 的 方法 ,如 果 管 
理 员 不 知道 这 种 黑客 手段 ,就 很 难 发 现 已 被 入 侵 。 

(2) 活动 频繁 化 : 黑客 行为 将 越 来 越 频繁 ,查看 一 台 刚 刚 启 动 几 分 钟 的 服务 器 ,就 可 在 
它 的 各 种 日 志 中 发 现 黑客 攻击 的 痕迹 。 

(3) 动机 复杂 化 : 黑客 行为 的 动机 也 更 加 复杂 ,有 政治 目的 个 人 目的 和 商业 目的 等 。 

(4) 黑客 年 轻 化 : 由 于 互联 网 的 普及 ,形成 全 球 一 体 化 ,甚至 很 多 偏远 地 区 也 可 以 从 网 
络 上 接触 到 世界 各 地 的 信息 资源 ,所 以 越 来 越 多 对 黑客 攻击 感 兴趣 的 中 学 生 也 已 经 踏足 到 
这 个 领域 。 

(5) 破坏 力 扩大 化 : 因 互 联网 的 普及 ,电子 商务 也 在 蓬勃 发 展 ,全 社会 对 互联 网 的 依赖 
性 日 益 增 强 , 黑 客 的 破坏 力也 日 益 扩大 化 。 仅 在 美国 ,黑客 每 年 造成 的 经 济 损失 就 超过 100 
亿美 元 。 

(6) 黑客 技术 普及 化 : 黑客 组 织 的 形成 和 黑客 傻瓜 式 工 具 的 大 量 出 现 导致 的 一 个 直接 
后 果 就 是 黑客 技术 的 普及 。 在 互联 网 上 ,传授 黑客 技术 的 站 点 比比 皆 是 ,这 些 黑 客站 点 提供 
黑客 工具 ,公布 系统 漏洞 ,公开 传授 黑客 技术 ,进行 黑客 教学 ,甚至 还 提供 网 上 论坛 .网 上 聊 
天 工具 以 相互 交流 黑客 技术 经 验 ,协调 黑客 行动 。 黑 客 事件 的 剧 增 ,黑客 组 织 规模 的 扩大 ， 
黑客 站 点 的 大 量 涌现 ,也 说 明了 黑客 技术 开始 普及 ,甚至 很 多 十 几 岁 的 年 轻 人 也 有 了 自己 的 
黑客 站 点 ,从 很 多 论坛 上 可 以 看 到 学 习 探 讨 黑 客 技术 的 人 也 越 来 越 多 。 

(7) 黑客 组 织 化 : 因为 利益 的 驱使 ,黑客 开始 由 原来 的 独立 个 体 变 成 有 组 织 的 黑客 群 
体 ,在 黑客 组 织 内 部 ,成 员 之 间 相 互 交 流 技 术 经 验 ,共同 采取 黑客 行动 ,行动 的 成 功率 增高 ， 
影响 力也 更 大 。 


3.2 网 络 攻击 概述 


3.2.1 网 络 攻击 定义 


网 络 攻击 是 对 网 络 系统 的 机 密 性 完整 性 .可 用 性 等 产生 危害 的 行为 。 实 际 上 ,网 络 攻 
击 是 黑客 利用 被 攻击 方 网 络 系统 自身 存在 的 漏洞 ,通过 使 用 网 络 命令 和 专用 软件 侵入 其 网 
络 系统 实施 的 攻击 。 


3.2.2 网 络 攻 击 分 类 


X. 800 和 RFC 2828 对 网 络 攻击 进行 了 分 类 。 它 们 把 攻击 分 为 两 类 : 被 动 攻 击 和 主动 
攻击 。 被 动 攻击 试图 获得 或 利用 系统 的 信息 ,但 不 会 对 系统 的 资源 造成 破坏 。 而 主动 攻击 
则 不 同 , 它 试图 破坏 系统 的 资源 ,影响 系统 的 正常 工作 。 

1. 被 动 攻 击 

被 动 攻击 的 特性 是 对 所 传输 的 信息 进行 窃听 和 监测 ,攻击 者 的 目标 是 获得 线路 上 所 传 
输 的 信息 。 窃 听 攻 击 和 流量 分 析 就 是 两 种 被 动 攻击 的 例子 。 

(1) 窃听 攻击 。 如 图 3-2 所 示 ,电子 邮件 和 传输 的 文件 中 都 可 能 包含 敏感 或 秘密 信息 ， 
攻击 者 通过 窃听 ,可 以 截获 这 些 敏感 或 秘密 信息 ,网 络 管理 人 员 的 工作 就 是 阻止 攻击 者 获得 
这 些 信 息 。 


Ss 


因特网 或 其 他 通信 设施 


图 3-2 ”窃听 攻击 


(2) 流量 分 析 。 如 图 3-3 所 示 ,假设 已 经 采取 了 某 种 措施 来 隐藏 消息 内 容 或 其 他 信息 
的 流量 ,使 攻击 者 即使 捕获 了 消息 也 不 能 从 中 发 现 有 价值 的 信息 。 加 密 是 隐藏 消息 的 常用 
方法 ,即使 对 消息 进行 了 合理 的 加 密 保护 ,攻击 者 仍然 可 以 通过 流量 分 析 获 得 这 些 消 息 的 模 
式 。 攻 击 者 可 以 通过 确定 主机 的 身份 及 其 所 处 的 位 置 , 观 察 传输 消息 的 频率 和 长 度 , 然 后 根 
据 所 获得 的 信息 推断 本 次 通信 的 性 质 。 


图 3-3 流量 分 析 
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由 于 被 动 攻击 不 涉及 对 数据 的 更 改 , 所 以 很 难 被 察觉 。 通 过 采用 加 密 措 施 , 完 全 有 可 能 
阻止 这 种 攻击 。 因 此 ,处 理 被 动 攻击 的 重点 是 预防 ,而 不 是 检测 。 

2. 主动 攻击 

主动 攻击 是 指 恶 意 自 改 数据 流 或 伪造 数据 流 等 攻击 行为 , 它 一 般 分 为 以 下 4 类 。 

(1) 伪装 攻击 。 伪 装 攻击 是 指 某 个 实体 假装 成 其 他 实体 ,对 目标 发 起 攻击 ,如 图 3-4 所 
示 。 例 如 ,攻击 者 捕获 认证 信息 ,然后 将 其 重 发 ,这 样 攻击 者 就 有 可 能 获得 其 他 实体 所 拥有 
的 访问 权限 。 


来 自用 户 C 的 消息 ,但 
看 上 去 好 像 来 自用 户 A 


图 3-4 伪装 攻击 


(2) 重 放 攻 击 。 重 放 攻 击 是 指 攻 击 者 为 了 达到 某 种 目的 ,将 获得 的 消息 再 次 发 送 , 以 在 
非 授权 的 情况 下 进行 传输 ,如 图 3-5 所 示 。 


截获 从 用 户 A 到 用 户 B 的 
消息 ， 再 重 发 给 用 户 B 


2 Ds 
S00 
因特网 或 其 他 通信 设施 


用 户 A 用 户 B 
图 3-5 重 放 攻击 


(3) 消息 算 改 。 消 息 自 改 是 指 攻 击 者 对 所 获得 的 合法 消息 中 的 一 部 分 进行 修改 或 延迟 
消息 的 传输 ,以 达到 其 非 授权 的 目的 ,如 图 3-6 所 示 。 


< 国 用 户 c 修 改 从 用 户 A 
镶 ”到 用 户 B 的 消息 


用 户 C 
全 SS、 
因特网 或 其 他 通信 设施 
用 户 A 


图 3-6 消息 自 改 


用 户 B 


(4) 拒绝 服务 攻击 。 拒 绝 服务 攻击 是 指 阻 止 或 禁止 人 们 正常 使 用 网 络 服务 或 管理 通信 
设备 ,如 图 3-7 所 示 。 


用 户 C 破 坏 由 服务 器 
提供 的 服务 


妇 


用 户 A 服务 器 
图 3-7 拒绝 服务 攻击 


主动 攻击 与 被 动 攻击 相反 ,被 动 攻击 虽然 难以 检测 ,但 采取 某 些 安全 防护 措施 就 可 以 有 
效 阻 止 ; 主动 攻击 虽然 易于 检测 ,但 却 难以 阻止 。 所 以 对 付 主 动 攻击 的 重点 应 当 放 在 如 何 
检测 并 发 现 它们 上 ,并 采取 相应 的 应 急 响 应 措施 ,使 系统 从 故障 状态 恢复 到 正常 运行 。 


3.2.3 网 络 攻击 五 部 曲 


一 次 成 功 的 人 侵 攻 击 , 可 以 归纳 成 基本 的 5 个 步 又 , 即 人 们 常 说 的 “网 络 攻击 五 部 曲 ”， 
如 图 3-8 所 示 , 具 体 步 又 和 顺序 可 根据 攻击 时 的 实际 情况 随 
时 进行 调整 。 

1. 隐藏 IP 

当 和 人 侵 者 找到 远程 主机 /服务 器 的 系统 缺陷 后 ,会 对 其 进 
行 试探 性 的 入 侵 ,此 时 ,入 侵 者 将 要 面 对 的 可 能 是 缺乏 经 验 的 
个 人 计算 机 用 户 , 也 可 能 是 网 络 安全 专家 ,或 是 对 方 布下 的 一 
个 网 络 陷阱 。 所 以 ,对 于 有 经 验 的 人 侵 者 ,他 们 会 在 入侵 时 步 
步 小 心 , 使 用 各 种 方法 来 隐藏 自己 ,尽量 不 去 直接 与 目标 接 
和 触 ,以 免 暴露 给 远程 主机 /服务 器 。 国 网 申 下 击 名 部 此 

2. 信息 搜集 

信息 搜集 俗称 踩点 ,就 是 通过 各 种 途径 对 所 要 攻击 的 目 
标 进行 多 方面 的 了 解 。 

3. 实施 人 侵 

入 侵 者 得 到 管理 员 权限 ,连接 到 远程 计算 机 ,对 其 进行 控制 ,达到 自己 攻击 的 目的 。 

4. 保持 访问 

入 侵 者 为 了 保持 长 期 对 胜利 果实 的 访问 权 , 在 已 经 攻破 的 计算 机 上 种 植 一些 供 自已 访 
问 的 后 门 。 

5. 隐藏 踪迹 

一 次 成 功 的 入 侵 ,一 般 会 在 对 方 的 计算 机 上 存储 相关 的 登录 日 志 ,这 样 就 容易 被 管理 员 
发 现 。 在 入侵 完毕 后 需要 清除 登录 日 志 及 其 他 相关 的 日 志 。 


3.3 隐藏 IP 


任何 攻击 者 都 不 希望 自己 的 攻击 行为 被 暴露 ,所 以 在 实施 攻击 之 前 的 首要 任务 是 隐藏 
自己 的 IP 地 址 。 
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通常 有 以 下 两 种 方式 可 以 实现 隐藏 IP 地 址 的 效果 。 

(1) IP 坎 骗 。 利 用 别人 的 主机 (俗称 "肉鸡 ”进行 攻击 ,也 就 是 说 黑客 首先 登录 到 一 个 第 
三 方 的 主机 ,然后 再 对 目标 进行 攻击 ,这 样 一 旦 被 发 现 , 被 攻击 者 也 只 能 得 到 那 台 “肉鸡 ”的 IP。 

(2) 网 络 代理 跳板 。 做 多 级 跳板 代理 ,这 样 在 被 攻击 者 的 主机 上 留 下 的 将 是 代理 跳板 
主机 的 IP 地 址 。 


3.3.1 JP 欺骗 


1. IP 欺骗 概述 

所 谓 欺骗 ,就 是 伪造 某 台 主机 的 IP 地 址 的 技术 ,其 实质 是 让 一 台 主 机 扮演 另 一 台 主 
机 ,以 达到 隐藏 自己 的 目的 。IP 欺骗 通常 要 通过 编写 程序 来 实现 ,IP 欺骗 者 通过 使 用 RAW 
Socket 编程 ,发 送 带 有 假冒 的 源 IP 地 址 的 外 数据 报 , 来 达到 自己 的 目的 。 另 外 ,网 络 上 也 有 大 量 
可 以 发 送 伪造 的 全 地址 的 工具 ,使 用 这 些 工具 可 以 任意 指定 源 他 地 址 ,以 免 留 下 自己 的 痕迹 。 

IP 是 网 络 层 的 一 个 面向 无 连接 的 协议 ,IP 数据 报 的 主要 内 容 由 源 IP 地 址 .目的 IP 地 
址 和 所 传 数据 构成 ,IP 的 任务 就 是 根据 每 个 数据 报 文 的 目的 地 址 ,路 由 完成 报 文 从 源 地 址 
到 目的 地 址 的 传送 。 至 于 报 文 在 传送 过 程 中 是 否 丢 失 或 出 现 差错 ,IP 不 会 考虑 ,对 IP 来 
讲 , 源 设备 与 目的 设备 没有 什么 关系 ,它们 是 相互 独立 的 。IP 包 只 是 根据 数据 报 文中 的 目 
的 地 址 发 送 , 因 此 借助 高 层 协议 的 应 用 程序 来 伪造 IP 地 址 是 比较 容易 实现 的 。 

在 IP 欺骗 的 状态 下 ,三 次 握手 的 情况 如 下 。 

第 一 步 : 黑客 假冒 主机 A 的 IP 向 服务 方 主机 B 发 送 SYN, 告 诉 主机 B 是 它 所 信任 的 
主机 A 想 发 起 一 次 TCP 连接 ,序列 号 为 数值 X, 这 一 步 实 现 比 较 简单 ,黑客 将 IP 包 的 源 地 
址 伪造 成 主机 A 的 IP 地 址 即 可 。 

要 注意 的 是 ,在 攻击 的 整个 过 程 中 ,必须 使 主机 A 与 网 络 的 正常 连接 中 断 。 因 为 SYN 
请 求 中 IP 包 源 地 址 是 主机 A 的 ,当主 机 B 收 到 SYN 请 求 时 ,将 根据 IP 包 中 源 地 址 反馈 
ACK SYN 给 主机 A, 但 事实 上 主机 A 并 未 向 主机 B 发 送 SYN 请 求 ,所 以 主机 A 收 到 后 会 
认为 这 是 一 次 错误 的 连接 ,从 而 向 主机 B 回 送 RST, 中 断 连 接 。 为 了 解决 这 个 问题 ,在 整个 
攻击 过 程 中 需要 设法 停止 主机 A 的 网 络 功 能 ,使 之 拒绝 服务 即 可 。 

第 二 步 : 服务 方 主机 B 产生 SYN ACK 响应 ,并 向 请 求 方 主 机 A( 注 意 : 是 主机 A, 不 
是 黑客 ,因为 主机 B 收 到 的 IP 包 的 源 地 址 是 主机 A) 发 送 ACK,ACK 的 值 为 X 十 1, 表 示 数 
据 成 功 接收 到 , 且 告 知 下 一 次 接收 到 字 节 的 SEQ 是 X 十 1, 同 时 ,主机 B 向 请 求 方 主机 A 发 
送 自己 的 SEQ, 注 意 这 个 数值 对 黑客 是 不 可 见 的 。 

第 三 步 : 黑客 再 次 向 服务 方 发 送 ACK .表示 接收 到 服务 方 的 回应 。 虽 然 实 际 上 它 并 没 
有 收 到 服务 方 主机 B 的 SYN ACK 响应 ,这 次 它 的 SEQ 值 为 X 十 1, 同 时 它 必 须 猿 出 ACK 
的 值 ,并 加 1 后 回馈 给 主机 B。 

如 果 黑 客 能 成 功 地 猜 出 主机 B 的 ACK 的 值 ,那么 TCP 的 三 次 握手 就 宣告 成 功 ,主机 B 
会 将 黑客 看 作 主 机 A。 黑 客 主机 这 种 连接 是 “盲人 ” 式 的 ,黑客 永远 不 会 收 到 来 自主 机 B 的 
包 , 因 为 这 些 反 馈 包 都 被 路 由 到 主机 A 那里 了 。 

由 三 次 握手 我 们 可 以 看 出 ,IP 欺骗 的 关键 在 于 猜 出 在 第 二 步 服务 方 所 回应 的 SEQ 值 ， 
有 了 这 个 值 ,TCP 连接 方 可 成 功 地 建立 。 在 早期 ,这 是 个 令 人 头疼 的 问题 ,但 随 着 IP 欺骗 
攻击 手段 的 研究 日 益 深入 ,一 些 专用 的 算法 得 到 应 用 ,并 产生 了 一 些 专 用 的 C 程序 ,如 


SEQ-Scan 等 , 当 黑客 使 用 这 些 C 程序 时 ,一 切 问 题 均 可 迎刃而解 。 

2. IP 欺骗 的 防备 

1) 防备 网 络 外 部 的 欺骗 

对 于 来 自 网 络 外 部 的 欺骗 ,阻止 这 种 攻击 的 方法 是 很 简单 的 。 在 局 部 网 络 的 对 外 路 由 
器 上 加 一 个 限制 条 件 , 设 置 不 允许 声称 来 自 于 内 部 网 络 的 外 来 包 通过 即 可 。 尽 管 路 由 器 可 
以 通过 分 析 测试 源 地 址 来 解决 IP 欺骗 中 的 一 般 问题 ,但 是 如 果 网 络 还 存在 外 部 的 可 信任 主 
机 ,那么 路 由 器 就 无 法 防止 别人 冒充 这 些 主机 而 进行 IP 欺骗 。 

2) 监视 网 络 

通过 对 信息 包 的 监控 来 检查 IP 欺骗 这 种 攻击 将 是 非常 有 效 的 方法 。 使 用 NETLOG 
等 信息 包 检 查 工具 对 信息 的 源 地 址 和 目的 地 址 进行 检查 ,如 果 发 现 了 信息 包 来 自 两 个 以 上 
不 同 的 地 址 , 即 说 明 系 统 有 可 能 受到 IP 欺骗 ,防火 墙 外 面 正 有 黑客 试图 入 侵 系统 。 

3) 安装 过 滤 路 由 器 

检测 和 保护 站 点 免 受 IP 欺骗 的 最 好 方法 是 安装 一 个 过 滤 路 由 器 ,来 限制 对 外 部 接口 的 
访问 ,禁止 带 有 内 部 网 络 资源 地 址 包 的 通过 。 当 然 也 应 禁止 (过 滤 ) 带 有 不 同 内 部 资源 地 址 
的 内 部 包 通 过 路 由 器 到 外 部 网 络 上 去 ,这样 即 可 防止 内 部 用 户 对 别 的 站 点 进行 IP 欺骗 。 


3.3.2 网 络 代 理 跳板 


当 从 本 地 入 侵 其 他 主机 时 ,自己 的 IP 会 暴露 给 对 方 ,通过 将 某 一 台 主 机 设置 为 代理 , 通 
过 该 主机 再 人 侵 其 他 主机 ,就 会 留 下 代理 的 IP 地 址 ,这 样 可 以 有 效 地 保护 自己 的 安全 。 这 
种 二 级 代理 的 基本 结构 如 图 3-9 所 示 。 


区 外 


本 地 计算 机 代理 服务 器 1 代理 服务 器 2 被 入 侵 的 主机 
图 3-9 二 级 代理 的 基本 结构 


本 地 计算 机 通过 两 级 代理 入 侵 某 一 台 主机 ,这 样 在 被 入 侵 的 主机 上 ,不 会 留 下 自己 的 信 
息 。 可 以 选择 更 多 的 代理 级 别 , 但 是 考虑 到 网 络 带宽 的 问题 ,一 般 选择 两 级 或 三 级 代理 比较 
合适 。 能 否 被 选择 做 代理 主机 有 一 个 首要 条 件 , 即 必须 先 安 装 相 关 的 代理 软件 ,一 般 是 将 已 
经 人 侵 的 主机 作为 代理 服务 器 。 


3.4 网 络 扫 描 


3.4.1 网 络 扫描 概述 


在 攻击 者 对 特定 的 网 络 资源 进行 攻击 之 前 ,他 们 需要 了 解 将 要 攻击 的 环境 ,这 需要 搜 
集 、 汇 总 各 种 和 目标 系统 相关 的 信息 ,包括 主机 数目 .类 型 .操作 系统 等 。 

网 络 扫描 技术 是 一 种 重要 的 网 络 安全 技术 。 扫 描 本 身 不 算 一 种 攻击 行为 ,但 是 它 常常 
可 以 作为 攻击 发 起 前 的 准备 工作 。 扫 描 器 能 够 自动 检测 远程 或 本 地 主机 的 安全 性 弱点 ,发 
现 远程 服务 器 各 种 TCP 端口 的 分 配 、 提 供 的 服务 及 相应 的 软件 版 本 ,记录 目标 给 予 的 回答 ， 


网 络 攻 去 技术 
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搜集 关于 目标 主机 的 各 种 有 用 信息 。 扫 描 器 可 以 帮助 发 现 目标 主机 存在 的 一 些 问题 ,而 这 
些 问 题 可 能 恰恰 就 是 黑客 攻击 的 关键 点 。 

反之 ,网 络 管理 员 同 样 可 以 利用 安全 扫描 技术 与 防火 墙 \, 人 侵 检 测 系统 互相 配合 ,有 效 
提高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ,网 络 管理 员 可 以 了 解 网 络 的 安全 配置 和 运行 的 应 
用 服务 ,及 时 发 现 安全 漏洞 ,客观 评价 网 络 风险 等 级 。 网 络 管理 员 可 以 根据 扫描 的 结果 更 正 
网 络 安全 漏洞 和 系统 中 的 错误 配置 ,在 黑客 攻击 前 进行 防范 。 如 果 说 防火 墙 和 网 络 监控 系 
统 是 被 动 的 防御 手段 ,那么 安全 扫描 就 是 一 种 主动 的 防范 措施 ,可 以 有 效 避 免 黑客 攻击 行 
为 ,做 到 防 患 于 未 然 。 


3.4.2 网 络 扫 描 步 又 


一 次 完整 的 网 络 扫描 分 为 以 下 三 个 阶段 。 

(1) 第 一 阶段 : 发 现 目标 主机 或 网 络 。 

(2) 第 二 阶段 : 发 现 目标 后 进一步 搜集 目标 信息 ,包括 操作 系统 类 型 .运行 的 服务 及 服 
务 软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 , 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 .路 由 设备 以 
及 各 主机 的 信息 。 

(3) 第 三 阶段 : 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

网 络 扫描 技术 包括 : Ping 扫射 .操作 系统 探测 端口 扫 描 及 漏洞 扫描 等 。 这 些 技术 在 网 
络 扫描 的 三 个 阶段 中 各 有 体现 。 

1. Ping 扫射 技术 

Ping 扫射 技术 用 于 网 络 安全 扫描 的 第 一 阶段 ,可 以 帮助 我 们 识别 系统 是 否 处 于 活动 状 
态 。 在 公司 里 ,一 天 中 的 不 同时 间 有 不 同 的 主机 在 活动 ,攻击 者 想 知 道 哪 些 主机 是 活动 的 ， 
哪些 不 是 ,他 们 一 般 在 白天 寻找 活动 的 主机 ,然后 在 深夜 再 次 查找 ,这 样 就 能 区 分 工作 站 和 
服务 器 。 

2. 操作 系统 探测 技术 

操作 系统 探测 技术 用 于 网 络 安全 扫描 的 第 二 阶段 ,攻击 者 已 知 哪 些 主机 是 活动 的 ,下 一 步 
要 识别 每 台 主 机 运行 哪 种 操作 系统 。 因 为 对 于 不 同类 型 的 操作 系统 ,其 上 的 系统 漏洞 有 很 大 
区 别 ,甚至 同一 种 操作 系统 的 不 同 版 本 的 系统 漏洞 也 是 不 一 样 的 ,所 以 攻击 的 方法 也 完全 不 同 。 

操作 系统 探测 技术 的 原理 是 不 同 的 操作 系统 在 网 络 底层 协议 的 各 种 实现 细节 上 咯 有 不 
同 ,扫描 程序 通过 向 远程 主机 发 送 不 平常 的 或 者 没有 意义 的 数据 包 来 进行 探测 ,因为 这 些 数 
据 包 RFC 在 互联 网 标准 中 没有 列 出 ,每 个 操作 系统 对 它们 的 处 理 方法 不 同 ,扫描 程序 通过 
解析 输出 ,能够 弄 清 自己 正在 访问 的 设备 运行 的 是 何 种 操作 系统 。 

3. 端口 扫描 技术 

端口 扫描 技术 同样 用 于 网 络 安全 扫描 的 第 二 阶段 ,端口 扫描 是 通过 与 目标 系统 的 
TCP/IP 端口 连接 ,查看 该 系统 处 于 监听 或 运行 状态 的 服务 。 

端口 扫描 也 是 一 种 获取 主机 信息 的 有 效 方法 。 在 UNIX/Linux 系统 中 ,任何 用 户 均 可 
使 用 端口 扫描 程序 而 不 需要 root 权限 。 从 扫描 的 端口 数目 和 端口 号 可 以 判断 出 目标 主机 
运行 的 操作 系统 ,通过 收集 扫描 的 信息 ,能够 轻松 地 掌握 局 域 网 络 的 构造 。 表 3-1 所 示 为 一 
些 常 用 端口 号 和 对 应 服务 的 对 照 表 ,不 过 应 该 认识 到 ,这 种 对 应 仅仅 是 约定 ,并 没有 严格 的 
规范 进行 约束 ,特别 是 对 于 高 于 1024 的 端口 。 


1) 端口 分 类 
(1) 熟知 端口 号 : 由 因特网 指派 名 字 和 号 码 , 公 司 负责 分 配给 一 些 常 用 的 应 用 层 程序 
固定 使 用 ,其 数值 一 般 为 0 一 1023。 
(2) 一 般 端口 号 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 。 
表 3-1 常用 服务 端口 对 照 表 


服务 端口 服 务 端口 
socks 1080/tcp wins 1512/tcp 
2049/tcp 
socks 1080/udp nfs 
2049/udp 
1 3306/tcp 轩 70/tcp 
mys 0 
3306/udp Po 70/udp 
79/tcp 
tstat 15/t fi 
netsta cp inger 79/udp 
1i f 98/ h Eo/tep 
oi t tt 
inuxconl cp Pp 80/udp 
953/tcp 110/tcp 
rndc pop3 
953/udp 110/udp 
id 3128/ 143/tcp 
Si 3 t a 
squi cp imap 143/udp 
21/tcp 389/tcp 
ftp ldap 
21/udp 389/udp 
22/t 
ssh 0 rtsp 544/udp 
22/udp 
23/t 
et SE shell 514/tep 
23/udp 
SoD 1 514/ud 
Smt SyS 
smtp 25/udp syslog 514/udp 
42/tcp 
nameserver uucp 540Vtcp 
42/udp 
2) 端口 扫描 原理 


入 侵 者 如 果 想 要 探测 目标 计算 机 开放 了 哪些 端口 ,提供 了 哪些 服务 ,就 需要 先 与 目标 端 
口 建立 TCP 连接 ,这 也 就 是 扫描 的 出 发 点 。 尝 试 与 目标 主 
机 的 某 些 端口 建立 连接 ,如 果 目 标 主机 该 端口 有 回复 ( 即 三 


一 >| 全 连接 (TCP) 


端 
次 握手 中 的 第 二 次 ) , 则 说 明 该 端口 开放 , 即 为 “活动 端口 ”。 一 | 半 连 接 (SYN) 
3) 端口 扫描 原理 分 类 描 
端口 扫描 原理 分 为 三 类 ,如 图 3-10 所 示 , 分 别 为 全 连接 -一 一 无 连接 (FIN) 
扫描 、 半 连接 扫描 以 及 无 连接 扫描 。 图 3-10 ”端口 扫描 原理 分 类 


(1) 全 连接 扫描 (TCP 扫描 ): 这 种 扫描 方法 使 用 三 次 
握手 与 目标 主机 建立 标准 的 TCP 连接 , 即 向 对 方 发 送 一 个 正常 的 TCP 连接 请 求 , 如 果 存 在 第 
三 次 握手 , 则 连接 建立 。 3 
(2) 半 连 接 扫 描 (SYN 扫描 ): 若 端口 扫描 没有 完成 一 个 完整 的 TCP 连接 ,扫描 主机 向 “| 章 


网 络 长 击 投 太 


网 络 安 会 基础 


目标 主机 的 指定 端口 发 送 SYN 数据 段 ,表示 发 送 建 立 连接 请 求 。 

Q@ 如 果 目 标 主机 的 回应 TCP 报 文中 SYN==1,ACK==1, 说 明 该 端口 是 活动 的 ,接着 扫 
描 主 机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ,从 而 导致 三 次 握手 过 程 的 失败 。 即 
建立 连接 时 只 完成 了 前 两 次 握手 。 

@ 如 果 目 标 主机 回应 的 是 RST, 则 表示 该 端口 为 “ 死 端口 ”, 这 种 情况 下 ,扫描 主机 不 用 
做 任何 回应 。 

(3) 无 连接 扫描 (FIN 扫描 ) : 依靠 发 送 FIN 来 判断 目标 主机 的 指定 端口 是 否 活动 。 发 
送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 个 RST 报 
文 。 但 是 , 当 发 送 FIN 报 文 到 一 个 活动 的 端口 时 ,该 报 文 只 是 简单 的 丢掉 ,不 会 返回 任何 回 
应 。 从 FIN 扫描 可 以 看 出 ,这 种 扫描 没有 涉及 任何 TCP 连接 部 分 ,因此 ,这 种 扫描 比 前 两 
种 都 安全 ,可 以 称 为 秘密 扫描 。 

4. 漏洞 扫描 技术 

网 络 扫描 的 第 三 阶段 采用 的 漏洞 扫描 通常 是 在 端口 扫描 的 基础 上 ,对 得 到 的 信息 进行 
相关 处 理 , 进 而 检测 出 目标 系统 存在 的 安全 漏洞 。 

漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存 在 漏洞 : 

(1) 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ,将 这 些 相 关 信 息 
与 网 络 漏 洞 扫描 系统 提供 的 漏洞 库 进行 匹配 ,查看 是 否 存 在 满足 匹配 条 件 的 漏洞 。 

(2) 通过 模拟 黑客 的 攻击 手法 ,对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱 
口令 等 , 若 模拟 攻击 成 功 , 则 表明 目标 主机 系统 存在 安全 漏洞 。 


3.5 网 络 攻击 


任何 以 干扰 、 破 坏 网 络 系统 为 目的 的 非 授权 行为 都 称 为 网 络 攻 击 。 黑 客 进行 网 络 攻 击 
通常 分 为 三 大 类 型 : 社会 工程 学 攻击 ,利用 型 攻击 和 拒绝 服务 型 攻击 。 

1. 社会 工程 学 攻击 

社会 工程 学 攻击 ,是 一 种 利用 “社会 工程 学 ”来 实施 的 网 络 攻 击 行为 。 社 会 工程 学 是 利 
用 人 的 本 能 反应 、 好 奇 心 ,信任 、 贪 便宜 等 弱点 ,使 用 诸如 欺骗 、 伤 害 等 危害 手段 ,获取 自身 利 
益 的 手法 。 

2. 利用 型 攻击 

利用 型 攻击 是 一 类 试图 直接 对 用 户 的 主机 进行 控制 的 攻击 ,最 常见 的 利用 型 攻击 有 物 
理 攻击 ,暴力 攻击 、 漏 洞 攻击 ,缓冲 区 溢出 攻击 和 木马 攻击 。 

3. 拒绝 服务 型 攻击 

拒绝 服务 型 攻击 是 目前 最 常见 的 一 种 攻击 类 型 。 从 网 络 攻 击 的 各 种 方法 和 所 产生 的 破 
坏 情 况 来 看 ,拒绝 服务 型 攻击 算是 一 种 很 简单 ,但 又 很 有 效 的 攻击 方式 。 它 的 目的 就 是 拒绝 
服务 访问 ,破坏 系统 的 正常 运行 ,最 终 使 网 络 连接 堵塞 ,或 者 服务 器 因 疲 于 处 理 攻击 者 发 送 
的 数据 包 而 使 服务 器 系统 的 相关 服务 崩溃 、 系 统 资源 耗 尽 。 


3.5.1 和 社会 工程 学 攻击 


社会 工程 学 攻击 是 利用 人 们 的 心理 特征 骗取 用 户 的 信任 ,获取 机 密 信息 、 系 统 设置 等 不 
公开 的 资料 ,为 黑客 攻击 和 病毒 感染 创造 有 利 条 件 。 


社会 工程 学 攻击 与 黑客 使 用 的 其 他 技术 具有 很 大 的 差别 , 它 所 研究 的 对 象 不 是 严谨 的 
计算 机 技术 ,而 是 目标 网 络 的 人 员 。 社 会 工程 学 主要 是 利用 说 服 或 欺骗 的 方法 来 获得 对 信 
息 系统 的 访问 ,这 种 说 服 和 欺骗 通常 是 通过 与 人 交流 或 其 他 互动 方式 实现 的 。 

近年 来 ,更 多 的 黑客 转向 利用 人 的 弱点 即 社会 工程 学 方法 来 实施 网 络 攻击 。 利 用 社会 
工程 学 手段 突破 信息 安全 防御 措施 的 事件 ,已 经 呈现 出 上 升 甚至 泛滥 的 趋势 。 

目前 社会 工程 学 攻击 主要 包括 两 种 方式 : 打 电 话 和 伪造 E-mail。 

1. 打 电 话 

在 社会 工程 学 攻击 中 有 些 黑 客 冒 充 失去 密码 的 合法 雇员 ,通过 这 种 简单 的 方法 重新 获 
得 密码 。 

2. 伪造 E-mail 

使 用 telnet, 一 个 黑客 可 以 截获 任何 一 个 身份 所 发 送 E-mail 的 全 部 信息 ,这样 的 Email 信 
息 是 真 的 ,因为 它 发 自 于 一 个 合法 的 用 户 。 一 个 冒充 系统 管理 员 或 经 理 的 黑客 可 以 伪造 这 些 
信息 显得 绝对 真实 的 E-mail, 从 而 较为 轻松 地 获得 大 量 的 信息 ,实施 他 们 的 恶意 阴谋 。 


3.5.2 物理 攻击 


物理 攻击 是 指 通过 接触 到 的 设备 进行 攻击 。 物 理 攻 击 有 两 种 方法 。 

(1) 管理 员 离开 计算 机 时 ,没有 加 密 计算 机 或 者 直接 把 管理 员 登 录 的 计算 机 借 给 他 人 
使 用 时 ,别人 就 可 以 通过 工具 软件 来 获得 用 户 名 和 密码 。 

(2) 普通 用 户 通过 提升 权限 ,获得 与 管理 员 相 同 的 权限 ,达到 长 期 占有 计算 机 的 目的 ， 
或 通过 命令 进入 到 某 个 计算 机 后 ,使 用 命令 新 建 用 户 名 及 密码 ,并 提升 权限 。 

到 目前 为 止 , 任 何 操作 系统 都 没有 本 地 安全 性 可 言 , 当 本 地 接触 一 台 计算 机 时 ,不 管 是 
什么 类 型 的 操作 系统 ,都 可 以 轻易 地 利用 一 些 工具 或 者 系统 的 一 些 特性 来 登录 系统 。 对 物 
理 攻 击 的 防范 措施 主要 有 : 设 定 计算 机 屏保 和 开机 密码 ; 计算 机 需要 借 出 时 应 该 在 监督 下 
使 用 ; 以 及 在 其 他 用 户 使 用 完 后 对 系统 做 详细 的 检查 。 


3.5.3 暴力 攻击 


暴力 攻击 采用 字典 穷 举 法 (也 称 暴力 法 ) 来 破解 用 户 的 密码 。 字 典 就 是 一 个 文本 文件 ， 
里 面包 含 了 所 有 可 能 的 密码 列表 。 攻 击 者 可 以 通过 一 些 工 具 软 件 ,自动 地 从 字典 中 取出 一 
个 单词 ,作为 用 户 的 口令 ,再 输入 给 远 端的 主机 ,申请 进入 系统 ; 如 果 口 令 错误 ,就 按 序 取出 
下 一 个 单词 ,进行 下 一 个 尝试 ,并 一 直 循 环 下 去 ,直到 找到 正确 的 口令 或 字典 的 单词 试 完 为 
止 。 由 于 这 个 破译 过 程 是 由 计算 机 程序 来 自动 完成 的 ,所 以 几 个 小 时 就 可 以 把 记录 在 字典 
里 的 数 十 万 单词 都 尝试 一 遍 。 也 就 是 说 ,只 有 被 破解 用 户 的 密码 存在 于 字典 中 , 才 会 被 这 种 
方式 所 找到 。 千 万 不 要 小 看 这 个 看 上 去 守株待兔 的 方法 ,由 于 网 络 上 经 常 有 不 同 的 黑客 彼 
此 交换 字典 ,因此 一 份 网 上 流传 的 字典 通常 包含 了 很 多 黑客 累积 的 经 验 , 对 于 安全 意识 不 强 
的 用 户 ,破解 率 是 很 高 的 。 

1. 暴力 攻击 类 型 

目前 常用 的 暴力 破解 主要 包含 以 下 4 种 类 型 。 

1) 词典 攻击 

因为 多 数 人 使 用 普通 词典 中 的 单词 作为 口令 ,发 起 词典 攻击 通常 是 较 好 的 开端 。 词典 
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攻击 使 用 一 个 包含 大 多 数 词典 单词 的 文件 ,用 这 些 单词 猜测 用 户口 令 。 
2) 强行 攻击 
许多 人 认为 如 果 使 用 足够 长 的 口令 ,或 者 使 用 足够 完善 的 加 密 模式 ,就 能 有 一 个 攻 不 破 
的 口令 。 事 实 上 没有 攻 不 破 的 口令 ,这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 尝 
试 字母 ,数字 ,特殊 字符 等 所 有 的 组 合 , 将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方法 叫 
作 强 行 攻击 。 使 用 强行 攻击 , 先 从 字母 a 开始 ,尝试 aa、ab、ac 等 ,然后 再 尝试 aaa aab…… 
以 此 类 推 下 去 。 
3) 组 合 攻 击 
词典 攻击 只 能 发 现 词典 单词 口令 ,但 是 速度 快 。 强 行 攻击 能 发 现 所 有 的 口令 ,但 是 破解 
时 间 很 长 。 在 公司 里 ,很 多 管理 员 要 求 员 工 设 置 口令 时 使 用 字母 和 数字 组 合 ,一 些 员工 的 对 
策 是 在 口令 后 面 添加 几 个 数字 。 如 把 口令 compnuter 变 成 
文件 ( 明 、 编 名 (E) 格式 (O) 查看 (V) computer123, 实 际 上 这 样 的 口令 很 弱 。 有 一 种 攻击 使 用 
gpm 词典 单词 ,但 是 在 单词 尾部 串 接 几 个 字母 和 数字 ,这 就 是 
组 合 攻 击 。 它 基本 上 介 于 词典 攻击 和 强行 攻击 之 间 。 
图 3-11 是 一 个 简单 的 组 合 攻击 字典 文件 。 
4) 社会 工程 学 字典 攻击 
图 3-11 字典 文件 如 果 黑 客 从 侧面 了 解 到 该 服务 器 所 属 单位 的 电话 号 
码 范围 .街道 号 .门牌 号 .网 络 管理 员 的 手机 号 .生日 等 ,就 
会 以 这 些 数据 为 基准 参数 制造 黑客 字典 。 因 为 很 多 人 为 了 记忆 简便 ,都 会 利用 自己 的 一 些 
常用 信息 作为 密码 ,所 以 就 导致 了 字典 攻击 的 可 能 性 。 利 用 对 目标 用 户 本 人 的 了 解 ,可 以 使 
用 社会 工程 学 来 生成 字典 ,再 利用 该 字典 进行 攻击 ,这 个 字典 的 成 功率 会 比 盲目 地 使 用 一 个 
字典 的 成 功率 高 。 图 3-12 是 一 个 社会 工程 学 字典 生成 器 主 界面 。 


社会 工程 学 字典 


用 户 名 持 音 }: 期 用 户 邮 箱 名 : 


用 户 出 生日 期 : 
示例 : 19841010 
用 户 手机 号 : 用 户 座 机 号 : 用 户 网 名 欧文 捕 音 }: 


用 户 名 丐 笔 }: 用 户 邮编 : 用 户 99 号 : 


用 户 PE: 用 户 风 站 成 立 日 期: 所 属 组 织 名 量 音 ): 


常用 密码 : 习 避 用 的 字符 次 文 卉 字 : 女友 / 诸 子 名 字 暗 音 }: 
女友 /妻子 电话 : 女友 让 子 出 生日 期 : 女友 /这 子 名 字 臣 笔 : 


女友 庚 子 网 名 站 用 户 最 好 的 朋友 名 出 闹 }: 站 用 户 常用 注册 名 晨 音 ): 
和 3 和 | 
图 3-12 社会 工程 学 字典 生成 器 主 界面 


2. 暴力 攻击 的 防御 

暴力 攻击 的 防御 方法 如 下 : 

(1) 不 管 是 服务 器 还 是 客户 计算 机 ,尽量 减少 账户 的 数量 ; 

(2) 所 有 账户 的 密码 必须 足够 复杂 ,一 般 约 定 普通 客户 计算 机 上 的 账户 密码 最 小 长 度 
为 6 位 ,服务 器 上 的 账户 密码 最 小 长 度 为 8 位 ; 

(3) 密码 不 要 使 用 与 单位 或 个 人 有 关 的 信息 构成 ; 

(4) 根据 现在 通用 的 密码 暴力 猜测 算法 ,可 以 反 向 思考 ,加 大 黑客 的 破解 难度 ,如 可 以 
用 大 写字 母 开 头 构造 密码 ,或 者 以 特殊 字符 开头 构造 密码 ; 

(5) 密码 中 不 要 包含 英文 单词 ,英文 单词 是 字典 攻击 的 猜测 范围 ,破解 成 功率 很 高 

(6) 密码 中 不 要 使 用 连续 的 字符 或 者 字母 ; 

(7) 密码 必须 强行 设置 策略 实现 至 少 40 天 更 新 一 次 ,更 新 后 的 密码 与 更 新 前 的 密码 不 
要 类 似 , 更 加 不 要 使 用 曾经 使 用 过 的 密码 ; 

(8) 设置 服务 器 或 者 客户 计算 机 的 操作 系统 密码 尝试 次 数 。 


3.5.4 漏洞 攻击 


漏洞 一 词 是 从 英文 单词 vulnerability 翻译 而 来 的 , 原 词 应 译 为 脆弱 性 ”, 但 是 中 国 的 技 
术 人 员 已 经 更 愿意 接受 “漏洞 "这 一 通俗 化 的 解释 。 从 众多 报刊 杂志 或 者 网 络 资源 中 ,人 们 
或 许 已 经 对 计算 机 系统 的 “漏洞 "这 个 概念 有 了 一 个 感性 的 理解 。 确 实 , 这 里 的 “漏洞 "并 不 
是 一 个 物理 上 的 概念 , 它 是 指 计算 机 系统 具有 的 某 种 可 能 被 人 侵 者 恶意 利用 的 属性 。 

简单 地 说 ,计算 机 漏洞 是 系统 的 一 组 特性 。 恶 意 的 入侵 者 能 够 利用 这 组 特性 ,通过 已 授 
权 的 手段 和 方式 获取 对 资源 的 未 授权 访问 ,或 者 对 系统 造成 损害 。 这 里 的 漏洞 既 包 括 单个 
计算 机 系统 的 漏洞 ,也 包括 计算 机 网 络 系统 的 漏洞 。 当 系统 的 某 个 漏洞 被 人 侵 者 渗透 而 造 
成 泄密 时 ,其 结果 就 称 为 一 次 安全 事件 。 

1. 存在 漏洞 的 原因 

从 技术 角度 而 言 ,漏洞 的 来 源 主要 有 以 下 几 个 方面 : 

(1) 软件 或 协议 设计 时 的 瑕 盖 。 协 议定 义 了 网 络 上 计算 机 会 话 和 通信 的 规则 ,如 果 在 
协议 设计 时 存在 瑕 症 , 那 么 无 论 实现 该 协议 的 方法 多 么 完美 , 它 都 存在 漏洞 。 

(2) 软件 或 协议 实现 中 的 弱点 。 即 使 协议 设计 得 很 完美 .实现 协议 的 方式 仍然 可 能 引 
和 漏洞。 

(3) 软件 本 身 的 瑕 盖 。 例 如 ,没有 进行 数据 内 容 和 大 小 的 检查 ,不 能 正常 处 理 资源 耗 尽 的 
情况 等 ,攻击 者 通过 渗透 这 些 漏洞 ,即使 不 具有 特权 账号 ,也 可 能 获得 额外 的 、 未 授权 的 访问 。 

(4) 系统 和 网 络 的 错误 配置 。 这 一 类 漏洞 并 不 是 由 协议 或 软件 本 身 的 问题 造成 的 ,而 
是 由 服务 和 软件 的 不 正确 部 署 和 配置 造成 的 。 

2. 公开 的 计算 机 漏洞 信息 

公开 漏洞 可 以 促使 提供 软件 或 硬件 的 厂商 更 快 地 解决 问题 ,也 可 以 让 系统 管理 员 更 有 
针对 性 地 对 自己 管理 的 系统 进行 配置 和 管理 。 多 年 的 实践 也 使 人 们 逐渐 认识 到 ,建立 在 漏 
洞 公开 基础 之 上 的 安全 才 是 更 可 靠 的 安全 。 因 特 网 上 已 经 有 许多 关于 各 种 漏洞 的 描述 和 与 
此 相关 的 数据 库 。 下 面 是 一 些 比 较 权 威 的 漏洞 信息 资源 。 

(1) 通用 漏洞 和 上 曝光。 通用 漏洞 和 曝光 (CVE) 是 一 个 公共 安全 漏洞 和 曝光 信息 的 标准 
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化 名 字 列 表 , 它 致力 于 为 所 有 公开 的 漏洞 和 安全 曝光 名 称 制定 标准 化 的 工作 。CVE 是 一 个 
字典 而 不 是 数据 库 , 它 的 目标 是 使 不 同 的 漏洞 数据 库 共享 数据 和 搜索 信息 变 得 更 加 容易 。 
目前 已 经 有 200 多 个 组 织 .产品 和 安全 警告 提供 服务 实现 了 “CVE 兼容 ”。 

(2) CERT/CC 漏洞 信息 数据 库 。CERTVCC 漏洞 数据 库 也 是 一 个 CVE 兼容 的 数据 
库 。 它 可 以 通过 名 字 ID 号 .CVE 名 字 发布 日 期 .严重 性 等 字段 检索 漏洞 信息 。 


3.5.5 缘 冲 区 溢出 攻击 


目前 最 流行 的 一 种 攻击 技术 就 是 缓冲 区 溢出 攻击 。 当 目标 操作 系统 收 到 了 超过 它 能 接 
收 的 最 大 信息 量 时 ,将 发 生 缓冲 区 溢出 。 这 项 攻击 对 技术 要 求 比较 高 ,但 是 攻击 的 过 程 却 非 
常 简单 。 

1. 缓冲 区 溢出 

缓冲 区 溢出 是 指 当 计算 机 程序 向 缓冲 区 内 填充 的 数据 位 数 超过 缓冲 区 本 身 的 空间 时 ， 
溢出 的 数据 覆盖 在 合法 数据 上 。 理 想 情况 是 ,程序 检查 数据 长 度 并 且 不 允许 输入 超过 缓冲 
区 长 度 的 字符 串 。 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 存储 空间 相 匹配 ,这 就 为 
缓冲 区 溢出 埋 下 了 隐患 。 操 作 系 统 所 使 用 的 缓冲 区 又 被 称 为 堆栈 ,在 各 个 操作 进程 之 间 , 指 
令 被 临时 存储 在 堆栈 中 ,堆栈 也 会 出 现 缓冲 区 溢出 。 

缓冲 区 溢出 的 原理 很 简单 ,如 下 所 示 。 

void function (char * str) 

{ 

char buff[16]; 


strcpy(buff, str); 
} 


程序 中 利用 strepy() 函数 将 str 中 的 内 容 复制 到 buff 中 ,只 要 str 的 长 度 大 于 16 ,就 会 
造成 缓冲 区 溢出 ,存在 类 似 strcpy( 〇 函数 这 种 问题 的 C 语言 函数 还 有 很 多 。 

当 一 个 超 长 的 数据 进入 到 缓冲 区 时 ,超出 部 分 就 会 被 写 人 其 他 缓冲 区 ,其 他 缓冲 区 存放 
的 可 能 是 数据 .下 一 条 指令 的 指针 或 者 是 其 他 程序 的 输出 内 容 ,这 些 内 容 都 被 覆盖 或 者 破坏 
掉 了 。 可 见 一 小 部 分 数据 或 者 一 套 指令 的 溢出 就 可 能 导致 一 个 程序 或 者 操作 系统 崩溃 。 

缓冲 区 溢出 是 由 编程 错误 引出 的 。 如 果 缓 冲 区 被 写 满 , 而 程序 没有 去 检查 缓冲 区 边界 ， 
也 没有 停止 接收 数据 ,这 时 缓冲 区 溢出 就 会 发 生 。 缓 冲 区 溢出 之 所 以 泛滥 ,是 由 于 开放 源 代 
码 程序 的 本 质 决定 的 。 标 准 C 语言 具有 许多 复制 和 添加 字符 串 的 函数 ,这 使 得 标准 C 语言 
很 难 进行 边界 检查 。 一 般 情况 下 ,覆盖 其 他 数据 区 的 数据 是 没有 意义 的 ,最 多 造成 应 用 程序 
错误 ,但 是 ,如 果 输 入 的 数据 是 经 过 黑客 精心 设计 的 .覆盖 缓冲 区 的 数据 恰恰 是 黑客 或 者 病 
毒 的 攻击 程序 代码 ,一 旦 多 余 字 节 被 编译 执行 ,黑客 或 者 病毒 就 有 可 能 为 所 欲 为 ,获取 系统 
的 控制 权 。 

2. 缓冲 区 溢出 的 防御 

缓冲 区 溢出 是 目前 导致 "黑客 "型 病毒 横行 的 主要 原因 。 从 “红色 代码 ”到 Slammer, 青 
到 “冲击 波 ”, 都 是 利用 缓冲 区 游 出 漏洞 的 典型 病毒 案例 。 缓 冲 区 溢出 是 一 个 编程 问题 ,防止 
利用 缓冲 区 溢出 发 起 的 攻击 ,关键 在 于 程序 开发 者 在 开发 程序 时 仔细 检查 溢出 情况 ,不 允许 
数据 溢出 缓冲 区 。 此 外 ,用 户 需 要 经 常 登录 操作 系统 和 应 用 程序 提供 商 的 网 站 ,跟踪 公布 的 


系统 漏洞 ,及 时 下 载 补丁 程序 ,弥补 系统 漏洞 。 因 此 ,缓冲 区 溢出 的 防御 方法 大 致 可 以 划分 
为 以 下 两 类 。 

(1) 编译 时 防御 ,目标 是 加 固 程序 来 抵抗 在 新 程序 中 的 攻击 。 

编译 时 防御 ,是 指 在 进行 编译 时 通过 检测 程序 防止 或 侦 测 缓冲 区 溢出 。 完 成 该 防御 的 
可 能 性 关键 在 于 选择 一 种 不 允许 缓冲 区 溢出 的 高 级 语言 ,鼓励 使 用 安全 的 编码 技术 ,使 用 安 
全 的 标准 库 ,或 者 包含 用 来 检测 栈 帧 是 否 被 破坏 的 附加 代码 。 

(2) 运行 时 防御 ,目标 是 在 现 有 的 程序 中 检测 和 终止 攻击 。 

就 像 我 们 已 经 注意 到 的 那样 ,大 多 数 编译 时 防御 的 方法 需要 对 现 有 的 程序 重新 编译 。 
因此 ,人 们 有 了 对 运行 时 防御 的 兴趣 , 像 操作 系统 通过 更 新 来 对 存在 漏洞 的 程序 提供 保护 一 
样 ,运行 时 防御 也 能 如 此 配置 。 


3.5.6 木马 攻击 


木马 攻击 是 黑客 最 常用 的 攻击 方法 ,木马 的 危害 性 在 于 它 对 计算 机 系统 强大 的 控制 和 
破坏 能 力 ,如 窃取 密码 ,控制 系统 操作 、 进 行文 件 操作 等 ,一 台 计算 机 一 旦 被 一 个 功能 强大 的 
木马 植 入 ,攻击 者 就 可 以 像 操 作 自 己 的 计算 机 一 样 控制 这 台 计 算 机 ,远程 监控 这 台 计 算 机 上 
的 所 有 操作 。 

木马 全 称 “ 特 洛 伊 木马 ”, 英 文 为 Trojan Horse, 它 来 源 于 古 希 腊 故事 。 有 一 次 , 古 希 腊 
大 军 围攻 特洛伊 城 , 久 攻 不 下 。 于 是 古 希 腊 谋 士 献计 制造 一 只 高 二 丈 的 大 木马 假装 作战 神 
马 ,随后 在 攻击 数 天 后 假装 兵 败 , 留 下 木马 拔 营 而 去 。 城 中 得 到 解围 的 消息 , 举 城 欢 庆 ,并 把 
这 个 奇异 的 战利品 搬入 城 内, 当 全 城 军 民 尽 人 梦乡 时 , 藏 于 木马 中 的 将 士 从 木马 中 打开 密 门 
而 下 ,打开 城 门 引入 外 兵 , 攻 下 特洛伊 城 。 这 就 是 “特洛伊 木马 ?的 来 历 。 计 算 机 界 把 伪装 成 
良性 程序 的 文件 形象 地 称 为 “木马 ”。 

木马 主要 有 以 下 特点 。 

(1) 伪装 性 ,木马 总 是 伪装 成 其 他 程序 来 迷惑 管理 员 。 

(2) 潜伏 性 ,木马 能 够 毫 无 声响 地 打开 端口 等 待 外 部 连接 。 

(3) 隐蔽 性 ,木马 的 运行 隐蔽 ,甚至 使 用 进程 查看 器 都 看 不 出 。 

(4) 不 易 删除 ,计算 机 一 旦 中 了 木马 ,最 省 事 的 方法 就 是 重 装 系统 。 

(5) 通用 性 ,即使 远程 主机 是 Windows 98 系统 .入侵 者 也 可 以 实现 远程 控制 。 

木马 与 后 门 的 区 别 : 本 质 上 ,木马 和 后 门 都 有 提供 网 络 后 门 的 功能 ,但 是 木马 的 功能 稍 
微 强大 一 些 ,一般 还 有 远程 控制 的 功能 ,而 后 门 程序 的 功能 比较 单一 ,只 是 方便 客户 端 能 够 
登录 对 方 的 主机 。 

1. 木马 分 类 

常见 的 木马 主要 可 以 分 为 以 下 8 种 类 型 。 

1) 破坏 型 木马 

破坏 型 木马 唯一 的 功能 就 是 破坏 并 且 删 除 文件 , 它 能 自动 删除 目标 计算 机 上 的 DLL、 
EXE 文件 ,所 以 非常 危险 ,一 旦 被 感染 就 会 严重 威胁 计算 机 的 安全 。 

2) 密码 发 送 型 木马 

密码 发 送 型 木马 是 专门 为 了 盗 取 被 感染 的 计算 机 上 的 密码 编写 的 ,木马 一 旦 执行 ,就 会 
自动 搜索 内 存 、 临 时 文件 夹 及 各 种 敏感 文件 ,一 旦 搜索 到 有 用 的 密码 ,木马 就 会 利用 免费 的 
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电子 邮件 服务 将 密码 发 送 到 指定 的 邮箱 ,达到 获取 密码 的 目的 。 这 类 木马 大 多 使 用 25 号 端 
口 发 送 E-mail, 它 们 大 多 会 在 每 次 Windows 重启 时 重新 运行 ,其 目的 是 找到 所 有 隐藏 密码 
并 且 在 受害 者 不 知道 的 情况 下 把 密码 发 送 到 指定 的 邮箱 。 如 果 目 标 计算 机 有 隐藏 密码 ,这 
些 木马 是 很 危险 的 。 

3) 远程 访问 型 木马 

最 有 代表 性 的 远程 访问 型 木马 是 特洛伊 木马 ,如 果 客 户 知道 了 服务 端的 IP 地 址 ,只 需 
运行 服务 端 程序 就 可 以 实现 远程 控制 。 

4) 键盘 记录 木马 

这 种 特洛伊 木马 是 非常 简单 的 , 它 只 做 一 件 事情 ,就 是 记录 被 攻击 者 的 键盘 敲 击 并 且 在 
LOG 文件 里 查找 密码 ,这 种 特洛伊 木马 随 着 Windows 的 启动 而 启动 。 它 们 分 为 在 线 记录 
和 离线 记录 ,分 别 记录 在 线 和 离线 状态 下 敲 击 键盘 时 的 按键 情况 。 从 这 些 按键 中 很 容易 就 
会 得 到 密码 等 有 用 信息 ,当然 对 于 这 种 类 型 的 木马 ,邮件 发 送 功能 也 是 必 不 可 少 的 。 

5) DoS 攻击 木马 

随 着 DoS 攻击 应 用 得 越 来 越 广泛 ,被 用 作 DoS 攻击 的 木马 也 越 来 越 流 行 起 来 。 当 一 台 
计算 机 被 入 侵 并 被 种 上 了 DoS 攻击 木马 ,那么 日 后 这 台 计 算 机 就 成 为 DoS 攻击 者 的 最 得 力 
的 助手 了 。 攻 击 者 控制 的 “肉鸡 ”数量 越 多 ,发 动 DoS 攻击 取得 成 功 的 概率 就 越 大 。 所 以 ， 
这 种 木马 的 危害 不 是 体现 在 被 感染 的 计算 机 上 ,而 是 体现 在 攻击 者 可 以 利用 它 来 攻击 一 台 
又 一 台 计算 机 ,给 网 络 造 成 很 大 的 伤害 和 损失 。 

还 有 一 种 类 似 DoS 攻击 的 木马 称 为 邮件 炸弹 木马 ,一 旦 计算 机 被 感染 ,木马 就 会 随机 生 
成 各 种 各 样 主题 的 信件 ,对 特定 的 邮箱 不 停 地 发 送 邮件 ,一 直到 对 方 瘫痪 ,不 能 接受 邮件 为 止 。 

6) 代理 木马 

黑客 在 人 侵 的 同时 掩盖 自己 的 足迹 ,谨防 别人 发 现 自己 的 身份 是 非常 重要 的 ,因此 ,给 
被 控制 的 “肉鸡 ?种 上 代理 木马 ,让 其 变 成 攻击 者 发 动 攻击 的 跳板 就 是 代理 木马 最 重要 的 任 
务 。 通 过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet 等 程序 ,从 而 隐藏 自己 踪迹 。 

7) FTP 木马 

这 种 木马 可 能 是 最 简单 和 最 古老 的 木马 , 它 的 唯一 功能 就 是 打开 21 端口 ,等待 用 户 连 
接 。 现 在 新 FTP 木马 还 加 上 了 密码 功能 ,因此 只 有 攻击 者 本 人 才 知 道 正 确 的 密码 ,从 而 进 
入 对 方 计算 机 。 

8) 程序 杀手 木马 

上 面 的 木马 功能 虽然 形形色色 ,不 过 要 到 对 方 计算 机 上 发 挥 自 己 的 作用 ,还 要 通过 防 木 
马 软件 这 一 关 才 行 。 常 见 的 防 木 马 软件 有 ZoneAlarm、Norton Anti-Virus 等 。 程 序 杀手 木 
马 的 功能 就 是 关闭 对 方 计算 机 上 运行 的 这 类 程序 ,让 其 他 的 木马 更 好 地 发 挥 作用 。 

2. 木马 连接 方式 

1) 传统 连接 方式 

传统 连接 方式 即 C/S 连接 方式 ,在 这 种 连接 方式 下 ,远程 主机 开放 监听 端口 等 待 外 部 
连接 ,成 为 服务 端 。 当 入 侵 者 需要 与 远程 主机 建立 连接 的 时 候 , 便 主动 发 出 连接 请 求 , 从 而 
建立 连接 ,建立 过 程 如 图 3-13 所 示 。 

这 种 连接 需要 服务 端 开放 端口 等 待 连接 ,需要 客户 端 知 道 服务 端的 IP 地 址 与 服务 端口 
号 。 因 此 ,传统 连接 不 适合 与 动态 IP 地 址 或 局 域 网 内 主机 建立 连接 。 


发 出 建立 连接 请 求 远程 主机 国 


客户 中 远程 主机 
地 连接 建立 成 功 国 
客户 入 远程 主机 


图 3-13 传统 连接 方式 


2) 反弹 端口 连接 方式 

反弹 端口 连接 方式 中 连接 的 建立 不 再 由 客户 端 主动 要 求 连接 ,而 是 由 服务 端 来 完成 ,这 
种 连接 过 程 恰 恰 与 传统 连接 方式 相反 。 当 远程 主机 安装 木马 后 ,由 远程 主机 主动 寻找 客户 
端 建立 连接 ,客户 端 则 开放 端口 等 待 连接 ,具体 建立 过 程 如 图 3-14 所 示 。 


要 求 建立 连接 司 


客户 中 远程 主机 
地 连接 建立 成 功 站 
客户 端 远程 主机 


图 3-14 反弹 端口 连接 方式 


3. 木马 防御 

使 用 以 下 方法 进行 防御 ,基本 上 可 以 阻止 基于 木马 的 入 侵 。 

1) 显示 文件 扩展 名 

文件 扩展 名 是 文件 格式 和 功能 的 代表 ,通过 文件 扩展 名 ,管理 员 一 眼 就 能 认 出 文件 的 真 
正身 份 , 例 如 ,. exe 代表 可 执行 文件 ,. jpg 代表 图 形 文件 、. txt 代表 文本 文件 ,. htm 代表 网 
页 文件 等 。 知 道 了 文件 的 扩展 名 ,再 看 文件 的 图 标 , 如果 它们 之 间 的 对 应 不 一 致 ,如 文件 扩 
展 名 是 . exe, 但 却 使 用 了 . jpg 的 图 标 , 那 么 就 说 明 这 个 文件 被 修改 过 ,这 样 的 文件 大 多 是 
木马 。 

2) 不 打开 任何 可 疑 文件 ,文件 夹 、 网 页 

不 只 是 执行 扩展 名 为 . exe、 bat 的 文件 名 有 被 攻击 的 危险 .打开 网 页 和 文件 夹 也 都 有 
危险 ,因此 ,只 有 尽量 不 打开 任何 可 疑 文 件 、 文 件 夹 . 网 页 ,才能 避免 被 种 植木 马 。 

3) 升级 IE 

很 多 木马 是 利用 了 IE 的 漏洞 ,所 以 要 经 常 升级 IE。 

4) 常 开 病毒 防火 墙 

由 于 病毒 防火 墙 比较 占 系统 资源 ,容易 造成 系统 运行 缓慢 ,因此 许多 管理 员 不 喜欢 开 病 
毒 防火 墙 ,而 是 认为 新 下 载 的 文件 进行 病毒 扫描 就 足够 了 。 但 是 需要 注意 的 是 ,仅仅 使 用 杀 
毒 软件 对 文件 进行 扫描 是 远 远 不 能 实现 安全 目的 的 ,病毒 防火 墙 能 够 对 系统 进行 实时 监控 ， 
及 时 发 现 活动 的 木马 并 把 它 杀 死 。 
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5) 常 开 网 络 防火 墙 
使 用 网 络 防火 墙 并 进行 相应 的 设置 ,这 样 一 来 ,即使 计算 机 真 的 中 了 木马 程序 ,防火 墙 
也 可 以 拦截 大 多 数 木马 的 连接 。 


3.5.7 拒绝 服务 攻击 


1. DoS 攻击 

拒绝 服务 (Denial-of-Service,DoS) 攻 击 是 一 种 针对 某 些 服务 可 用 性 的 攻击 。 从 计算 机 
和 通信 安全 的 角度 讲 ,DoS 攻击 一 般 攻 击 目 标 系统 的 网 络 服务 ,通过 攻击 其 网 络 连 接 来 实 
现 。 这 种 针对 服务 可 用 性 的 攻击 不 同 于 其 他 传统 意义 上 的 不 可 抗力 产生 的 攻击 , 它 是 通过 
造成 IT 基础 设备 的 损害 或 毁坏 而 导致 服务 能 力 的 丧失 。 

NIST 计算 机 安全 事故 处 理 指南 (NIST Computer Security Incident Handling Guide) 
中 对 DoS 攻击 给 出 的 定义 如 下 : 拒绝 服务 是 一 种 通过 耗 尽 CPU 内存、 带宽 以 及 磁盘 空间 
等 系统 资源 ,来 阻止 或 前 弱 对 网 络 、 系 统 或 应 用 程序 的 授权 使 用 的 行为 。 

由 上 述 定 义 可 知 ,可 作为 DoS 攻击 对 象 的 资源 有 下 面 几 类 。 

1) 网 络 带 宽 

网 络 带宽 与 连接 服务 器 和 因特网 的 网 络 链 路 的 容量 相关 。 对 于 大 部 分 机 构 来 说 ,网 络 
带宽 指 的 是 连接 到 其 网 络 服务 提供 商 的 链 路 容量 ,如 图 3-15 给 出 的 网 络 实例 所 示 。 通 常 这 
个 连接 的 容量 低 于 ISP 路 由 器 内 部 以 及 ISP 路 由 器 之 间 的 链 路 容量 ,这 就 意味 着 可 能 会 发 
生 这 样 的 情况 : 经 过 具有 更 高 容量 的 链 路 而 到 达 ISP 路 由 器 的 通信 量 要 高 于 到 机 构 的 链 路 
的 通信 和 量 。 在 这 种 情况 下 ,ISP 路 由 器 只 能 发 送 链 路 所 能 承载 的 最 大 流量 ,对 于 超出 的 流量 
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图 3-15 说 明 DoS 攻击 的 网 络 实例 


必须 丢弃 。 在 正常 网 络 运行 环境 下 ,正常 用 户 的 超 负荷 访问 同样 会 使 得 服务 器 网 络 繁忙 。 
那么 这 些 正 常用 户 当 中 就 会 随机 地 有 一 部 分 不 能 得 到 服务 器 的 响应 ,对 于 一 个 已 经 超 负荷 
的 TCP/IP 网 络 连 接 来 说 ,服务 器 不 可 用 也 是 预料 之 中 的 。 但 在 DoS 攻击 的 情况 下 ,攻击 
者 直接 地 或 间接 地 制造 出 大 量 的 恶意 流量 发 往 目 标 服务 器 。 这 种 攻击 流量 相 比 任何 的 合法 
流量 来 说 是 压倒 性 的 ,从 而 有 效 地 拒绝 了 合法 用 户 对 服务 器 的 访问 。 

2) 系统 资源 

针对 系统 资源 的 DoS 攻击 ,是 通过 使 用 某 些 特殊 数据 包 来 触发 系统 的 网 络 处 理 软件 的 
缺陷 ,从 而 导致 系统 崩溃 。 如 果 受 到 这 种 DoS 攻击 ,除非 管理 员 重 新 启动 网 络 处理 程 序 ,和 否 
则 服务 器 将 无 法 再 通过 网 络 处 理 程序 来 提供 网 络 服务 。 例 如 ,经 典 的 死亡 之 ping 和 泪 滴 攻 
击 都 是 这 种 类 型 的 攻击 ,它们 主要 是 针对 早期 的 Windows 9x 操作 系统 。 

3) 应 用 资源 

针对 特定 应 用 服务 程序 的 攻击 一 般 使 用 一 定数 量 的 合法 请 求 , 而 每 个 合法 请 求 都 会 明 
显 地 消耗 掉 服 务 器 上 的 系统 资源 ,从 而 达到 限制 服务 器 响应 其 他 合法 用 户 请 求 的 目的 。 例 
如 , 某 Web 服务 器 可 能 会 提供 数据 库 查 询 服务 ,如果 能 够 构造 出 一 个 巨大 的 、 高 代价 的 查询 
请 求 , 那 么 攻击 者 就 能 够 向 服务 器 提出 大 量 的 这 类 查询 请 求 。 这 样 就 会 限制 Web 服务 器 响 
应 其 他 合法 用 户 的 查询 请 求 。 

2. DoS 攻击 原理 

DoS 攻击 的 基本 原理 是 使 被 攻击 服务 器 充斥 大 量 要 求 回 复 的 信息 ,消耗 网 络 带宽 或 系 
统 资源 ,导致 网 络 或 系统 不 胜 负 荷 以 至 于 瘫痪 ,而 停止 提供 正常 的 网 络 服务 。 

要 对 服务 器 实施 拒绝 服务 攻击 ,有 两 种 方式 ， 

(1) 迫使 服务 器 的 缓冲 区 满载 ,不 接收 新 的 请 求 ; 

(2) 使 用 IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连 
接 复位 。 影 响 合法 用 户 的 连接 ,这 也 是 DoS 攻击 实 


施 的 基本 思想 。 

为 便于 理解 ,介绍 一 个 简单 的 DoS 攻击 基本 过 
程 , 如 图 3-16 所 示 。 虚假 地 址 全” 

攻击 者 先 向 被 攻击 者 发 送 众多 带 有 虚假 地 址 的 。 图 316 一个 简单 的 Dos 攻击 的 
请 求 ,被 攻击 者 发 送 回复 信息 后 等 待 回 传 信息 .由 于 基本 过 程 


是 伪造 地 址 ,所 以 被 攻击 者 一 直 等 不 到 回 传 信息 ,分 
配给 这 次 请 求 的 资源 就 始终 不 被 释放 。 当 被 攻击 者 等 待 一 段 时 间 后 ,连接 会 因 超 时 被 切断 ， 
攻击 者 会 再 度 传送 一 批 伪 地 址 的 新 请 求 , 这 样 反复 进行 ,被 攻击 者 的 资源 将 被 耗 尽 ,最 终 导 
致 被 攻击 者 主机 瘫痪 。 

3. DoS 攻击 类 型 

DoS 攻击 从 攻击 目的 和 手段 上 主要 分 为 以 下 一 些 类 型 ,它们 以 不 同 的 方式 对 目标 网 络 
造成 破坏 。 

1) 带宽 耗 用 DoS 攻击 

最 阴险 的 DoS 攻击 是 带宽 耗 用 攻击 。 它 的 本 质 就 是 攻击 者 消耗 掉 通 达 某 个 网 络 的 所 
有 可 用 的 带宽 。 这 种 攻击 可 以 发 生 在 局 域 网 上 ,不 过 更 常见 的 是 攻击 者 远程 消耗 资源 。 为 
了 达到 这 一 目的 ,一 种 方法 是 攻击 者 通过 使 用 更 多 的 带宽 造成 受害 者 网 络 的 拥塞 , 另 一 种 方 
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法 是 攻击 者 通过 征用 多 个 站 点 ,集中 拥塞 受害 者 的 网 络 连 接 来 达到 DoS 攻击 效果 。 

2) 资源 衰竭 DoS 攻击 

资源 衰竭 攻击 与 带宽 耗 用 攻击 的 差异 在 于 前 者 集中 于 系统 资源 的 消耗 而 不 是 网 络 资源 的 
消耗 。 一 般 来 说 , 它 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系 统 和 系统 进程 总 数 之 类 系统 资源 的 消 
耗 。 攻 击 者 往往 拥有 一 定数 量 系统 资源 的 合法 访问 权 , 然 后 ,攻击 者 会 滥用 这 种 访问 权 消 耗 额 
外 的 资源 ,这 样 , 系 统 或 合法 用 户 被 剥夺 了 原来 享有 的 资源 ,造成 系统 崩溃 或 可 利用 资源 耗 尽 。 

3) 编程 缺陷 DoS 攻击 

部 分 DoS 攻击 并 不 需要 发 送 大 量 的 数据 包 来 进行 攻击 。 编 程 缺 陷 攻击 就 是 利用 应 用 
程序 .操作 系统 等 在 处 理 异 常 条 件 时 的 逻辑 错误 实施 的 DoS 攻击 。 攻 击 者 通常 向 目标 系统 
发 送 精心 设计 的 畸形 分 组 来 试图 导致 服务 的 失效 和 系统 的 骨 溃 。 

4) 基于 路 由 的 DoS 攻击 

在 基于 路 由 的 DoS 攻击 中 ,攻击 者 操纵 路 由 表 项 以 拒绝 向 合法 系统 或 网 络 提供 服务 。 
诸如 路 由 信息 协议 和 边界 网 关 协 议 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 的 认证 机 制 ， 
这 就 给 攻击 者 变换 合法 路 径 提供 了 良好 的 前 提 , 它 们 往往 通过 假冒 源 IP 地 址 就 能 创建 DoS 
攻击 。 这 种 攻击 的 后 果 是 受害 者 网 络 的 分 组 经 由 攻击 者 的 网 络 路 由 ,或 者 被 路 由 到 不 存在 
的 黑洞 网 络 上 。 

5) 基于 DNS 的 DoS 攻击 

基于 DNS 的 攻击 与 基于 路 由 的 DoS 攻击 类 似 。 大 多 数 的 DNS 攻击 会 将 虚假 的 地 址 
信息 发 送 给 受害 者 的 域名 服务 器 高 速 缓存 ,这样 , 当 用 户 请 求 某 DNS 服务 器 执行 查找 请 求 
的 时 候 , 攻 击 者 就 达到 了 把 它们 重 定向 到 自己 喜欢 的 站 点 上 的 效果 。 

4. 分 布 式 拒绝 服务 攻击 

DDoS 全 名 是 Distributed Denial of Service (分 布 式 拒绝 服务 攻击 ) ,很 多 DoS 攻击 源 
一 起 攻击 某 台 服务 器 就 组 成 了 DDoS 攻击 ,DDoS 最 早 可 追溯 到 1996 年 最 初 , 在 中 国 开始 
频繁 出 现 于 2002 年 ,2003 年 已 经 初 具 规模 。DDoS 攻击 是 利用 一 批 受 控制 的 机 器 向 一 台 机 
器 发 起 攻击 ,这 种 攻击 来 势 迅 猛 , 令 人 难以 防备 , 且 具 有 较 大 的 破坏 性 。 

一 个 比较 完善 的 DDoS 攻击 体系 分 成 4 大 部 分 ,如 图 3-17 所 示 。 
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图 3-17 DDoS 攻击 体系 


(1) 攻击 控制 台 : 黑客 所 用 的 主机 ,也 称 为 攻击 者 。 它 操纵 整个 攻击 过 程 ,向 攻击 服务 
器 发 送 攻击 命令 。 

(2) 攻击 服务 器 : 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,这 些 主机 分 别 控制 大 量 的 代 
理 攻击 主机 。 其 上 面 安装 特定 的 程序 ,可 以 接收 攻击 者 发 来 的 特殊 指令 ,并 且 可 以 把 这 些 指 
令 发 送 到 攻击 器 上 。 

(3) 攻击 器 : 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,其 上 面 运行 攻击 程序 ,接收 和 运行 攻 
击 服务 器 发 来 的 命令 。 

(4) 目标 主机 : 被 攻击 的 受害 者 。 

先 来 看 一 下 最 重要 的 攻击 服务 器 和 攻击 器 ,它们 分 别 用 作 控 制 和 实际 发 起 攻击 。 请 注 
意 攻 击 服务 器 与 攻击 器 的 区 别 ,对 目标 主机 来 说 ,DDoS 的 实际 攻击 包 是 从 攻击 器 倪 偶 机 上 
发 出 的 ,攻击 服务 器 只 发 布 命 令 而 不 参与 实际 的 攻击 。 对 于 攻击 服务 器 和 攻击 器 ,攻击 控制 
台 有 控制 权 或 者 部 分 控制 权 , 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ,这 些 程序 与 正常 的 
程序 一 样 运行 并 等 待 来 自 黑客 的 指令 ,通常 它 还 会 利用 各 种 手段 隐藏 自己 不 被 别人 发 现 。 
在 平时 ,这 些 攻击 服务 器 并 没有 什么 异常 ,只 是 一 旦 黑客 连接 到 它们 进行 控制 并 发 出 指令 ， 
攻击 服务 器 就 成 为 害 人 者 去 发 起 攻击 了 。 

为 什么 黑客 不 直接 去 控制 攻击 器 ,而 要 从 攻击 服务 器 上 转 一 下 呢 ? 从 攻击 者 的 角度 来 
说 ,他 肯定 不 愿意 被 发 现 , 而 攻击 者 使 用 的 倪 儒 机 越 多 ,他 实际 上 提供 给 受害 者 的 分 析 依 据 
就 越 多 。 在 占领 一 台 计 算 机 后 ,高 水 平 的 攻击 者 会 首先 做 两 件 事 : 第 一 ,考虑 如 何 留 好 后 
门 ; 第 三 ,考虑 如 何 清理 日 志 。 但 是 在 攻击 器 上 清理 日 志 实 在 是 一 项 庞大 的 工程 ,即使 在 很 
好 的 日 志清 理工 具 的 帮助 下 ,黑客 想 完 全 清除 日 志 也 是 比较 困难 的 。 这 就 导致 了 有 些 攻 击 
器 清除 日 志 不 是 很 干净 ,通过 它 上 面 的 线索 能 找到 控制 它 的 上 一 级 计算 机 ,上 级 计算 机 如 果 
是 黑客 自己 的 机 器 ,那么 他 就 会 被 查找 出 来 。 但 如 果 这 是 攻击 服务 器 的 话 , 黑 客 自身 还 是 安 
全 的 。 攻 击 服务 器 的 数目 很 少 ,一 般 一 台 就 可 以 控制 几 十 台 攻 击 器 ,清理 一 台 攻 击 服务 器 的 
日 志 对 黑客 来 讲 就 容易 多 了 ,这样 从 攻击 服务 器 再 找到 黑客 的 可 能 性 也 大 大 降低 。 

5. DDoS 攻击 过 程 

DDoS 攻击 的 过 程 可 以 描述 如 下 : 

(1) 搜集 了 解 目标 的 情况 。 了 解 被 攻击 目标 主机 的 数据 ` 地 址 情况 ,目标 主机 的 配置 、 
性 能 ,以 及 目标 主机 的 带宽 ,从 目标 主机 中 找到 可 能 成 为 俐 从 机 的 主机 。 

(2) 占领 侧 儒 机 。 倪 偶 机 选择 链 路 状态 好 、 性 能 好 、 安 全 管理 水 平 差 的 主机 。 首 先 采 用 
扫描 手段 ,随机 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 互联 网 上 那些 有 漏洞 的 主机 ,如 程序 的 
溢出 漏洞 .数据库 漏洞 等 ; 随后 尝试 入侵 ,一 旦 入 侵 成 功 , 把 DDoS 攻击 用 的 程序 上 传 过 去 ， 
一 般 是 利用 FTP。 在 攻击 器 上 ,会 有 一 个 DDoS 的 发 包 程 序 ,攻击 者 就 是 利用 它 来 向 目标 
主机 发 送 恶意 攻击 包 。 

(3) 实际 攻击 。 经 过 前 两 个 阶段 的 精心 准备 ,就 可 以 瞄准 目标 准备 攻击 了 。 攻 击 者 登 
录 到 作为 攻击 服务 器 的 倪 偶 机 ,向 所 有 的 攻击 器 发 出 DDoS 攻击 命令 ,这 时 候 埋伏 在 攻击 器 
中 的 DDoS 攻击 程序 就 会 响应 攻击 服务 器 的 命令 ,一 起 向 目标 主机 或 设备 高 速 发 送 大 量 的 
数据 包 , 导 致 服务 停止 .死机 或 连接 线路 拥塞 中 断 。 

6. DDoS 防御 方法 

1) 定期 扫描 

要 定期 扫描 现 有 的 网 络 主 节点 ,清查 可 能 存在 的 安全 漏洞 ,对 新 出 现 的 漏洞 及 时 进行 清 
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理 。 上 骨干 节 点 的 计算 机 因为 具有 较 高 的 带宽 ,是 黑客 利用 的 最 佳 位 置 ,因此 对 这 些 计算 机 本 
身 加 强 安全 配置 是 非常 重要 的 。 而 且 连 接 到 网 络 主 节点 的 都 是 服务 器 级 别 的 计算 机 ,所 以 
定期 扫描 漏洞 就 变 得 更 加 重要 了 。 

2) 采用 高 性 能 的 网 络 设备 

首先 要 保证 网 络 设备 不 能 成 为 瓶 肛 ,因此 选择 路 由 器 、 交 换 机 硬件 防火 墙 等 设备 的 时 候 
要 尽量 选用 知名 度 高 ,口碑 好 的 产品 。 假 如 和 网 络 提供 商 有 特殊 关系 或 协议 的 话 , 当 大 量 攻击 
发 生 时 请 他 们 在 网 络 接点 处 做 一 下 流量 限制 来 对 抗 某 些 种 类 的 DDoS 攻击 是 非常 有 效 的 。 

3) 尽量 避免 NAT 的 使 用 

无 论 是 路 由 器 还 是 硬件 防护 墙 设备 要 尽量 避免 采用 网 络 地 址 转换 NAT 的 使 用 ,因为 采 
用 此 技术 会 大 幅 降低 网 络 通信 能 力 。 原 因 是 NAT 需要 对 地 址 来 回转 换 , 转 换 过 程 中 需要 对 网 
络 包 校 验 和 进行 计算 ,因此 浪费 了 很 多 CPU 的 时 间 ,但 在 必须 使 用 NAT 时 , 那 就 只 能 如 此 了 。 

4) 充足 的 网 络 带宽 保证 

网 络 带宽 直接 决定 了 能 抵抗 攻击 的 能 力 ,假若 仅仅 有 10M 带宽 的 话 ,无 论 采 取 什么 措施 
都 很 难 对 抗 现 在 的 SYNFlood 攻击 ,目前 至 少 要 选择 100M 的 共享 带宽 ,最 佳 选择 是 使 用 
1000M 的 共享 带宽 。 但 需要 注意 的 是 ,主机 上 的 网 卡 是 1000M 的 并 不 意味 着 它 的 网 络 带宽 就 
是 千 兆 的 , 若 把 它 接 在 100M 的 交换 机 上 , 它 的 实际 带宽 不 会 超过 100M, 而 且 接 在 100M 的 带 
宽 上 也 不 等 于 就 有 了 百 兆 的 带宽 ,因为 网 络 服务 商 很 可 能 会 在 交换 机 上 限制 实际 带宽 为 10M。 

5) 在 骨干 节点 配置 防火 墙 

防火 墙 本 身 能 抵御 DDoS 攻击 和 其 他 一 些 攻 击 。 在 发 现 受 到 攻击 的 时 候 , 可 以 将 攻击 
导向 一 些 牺 牲 主机 ,这 样 可 以 保护 真正 的 主机 不 被 攻击 。 

6) 过 滤 不 必要 的 服务 和 端口 

过 滤 不 必要 的 服务 和 端口 ,只 开放 服务 端口 成 为 目前 很 多 服务 器 的 流行 做 法 , 如 
WWW 服务 器 只 开放 80 端口 而 将 其 他 所 有 端口 关闭 或 在 防火 墙 上 做 阻止 策略 。 

7) 检查 访问 者 的 来 源 

使 用 Unicast Reverse Path Forwarding 等 通过 反 向 路 由 器 查询 的 方法 检查 访问 者 的 
IP 地 址 是 否 是 真 , 如 果 是 假 的 ,将 予以 屏蔽 。 许 多 黑客 在 攻击 时 常 采 用 假 IP 地 址 的 方式 迷 
惑 用 户 ,很 难 查 出 它 来 自 何 处 。 因 此 ,利用 Unicast Reverse Path Forwarding 可 减少 假 IP 
地 址 的 出 现 , 有 助 于 提高 网 络 安全 性 。 

8) 限制 SYNVICMP 流量 

用 户 应 在 路 由 器 上 配置 SYN/ICMP 的 最 大 流量 来 限制 SYNVICMP 包 所 能 占有 的 最 
高 带宽 , 当 出 现 的 较 大 流量 超过 SYN/ICMP 的 限定 时 ,说 明 不 是 正常 的 网 络 访问 ,而 是 有 
黑客 和 人 侵 。 早 期 限制 SYN/ICMP 流量 是 最 好 的 防范 DoS 的 方法 ,虽然 目前 该 方法 对 于 
DDoS 效果 不 太 明 显 了 ,不 过 仍然 能 够 起 到 一 定 的 作用 。 

7. DDoS 防护 部 署 

1) 串 行 部 署 防御 DDoS 攻击 

串 行 部 署 防御 模式 主要 应 用 在 企业 网 络 中 ,在 网 络 的 出 口 或 要 保护 的 目标 地 址 前 进行 
部 署 ,提供 串 行 的 保护 形式 ,如 图 3-18 所 示 。 

此 种 部 署 模式 不 需要 DDoS 攻击 检测 器 ,而 是 直接 将 防护 设备 部 署 在 需要 保护 的 设备 
前 面 , 利 用 设备 的 识别 能 力 , 直 接 过 滤 攻 击 流量 。 
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图 3-18 串 行 部 署 防御 模式 


此 种 部 署 模式 实施 起 来 比较 简单 ,但 有 以 下 几 个 较为 明显 的 弱点 ,例如 ,任何 时 候 流量 
都 经 过 防范 设备 ,可 能 会 成 为 性 能 瓶颈 ; 在 需要 保护 的 目标 设备 比较 多 时 ,投资 较 高 ; 对 来 
自 上 游 的 基于 带宽 的 DDoS 攻击 无 法 提供 有 效 保护 。 

2) 旁 路 部 署 防御 DDoS 攻击 

完整 的 DDoS 保护 围绕 以 下 4 个 关键 主题 建立 : 

(1) 要 缓解 攻击 ,而 不 只 是 检测 ; 

(2) 从 恶意 业务 中 精确 辨认 出 正常 的 业务 ,维持 业务 继续 进行 ,而 不 只 是 检测 攻击 的 存在 

(3) 内 含 性 能 和 体系 结构 能 对 上 游 进行 配置 .保护 所 有 易 受 损 点 ; 

(4) 维持 可 靠 性 和 成 本 效益 可 升级 性 。 

旁 路 式 部 署 防御 模式 可 以 完全 围绕 这 几 个 关键 主题 进行 ,没有 串 行 模式 的 几 大 弱点 ,可 
以 应 用 在 各 种 网 络 中 ,对 网 络 设备 和 服务 器 等 提供 保护 ,如 图 3-19 所 示 。 


DDoS 攻击 
防范 设备 
DDoS 攻击 
检测 设备 


被 攻击 者 = 被 攻击 者 


图 3-19 旁 路 部 署 防御 模式 


此 种 部 署 模式 在 原 有 网 络 的 基础 上 实施 ,对 原 有 网 络 没 有 任何 改变 。 此 方式 需要 
DDoS 攻击 检测 器 和 流量 异常 检测 手段 , 当 检 测 嚣 发现 DDoS 攻击 后 ,直接 通知 DDoS 防范 
器 将 流量 引导 到 DDoS 防范 器 进行 过 滤 , 然 后 将 过 滤 后 正常 的 流量 继续 传送 到 目标 地 址 。 

这 种 模式 在 检测 、 转 移 、 验 证 和 转发 的 基础 上 实施 一 个 完整 DDoS 保护 解决 方案 来 提供 
完全 保护 。 


地 w 湛 


网 络 长 击 抽 大 


网 络 安 会 基础 


3.6 网 络 后 门 


简单 地 说 ,后 门 是 攻击 者 再 次 进入 网 络 或 者 是 系统 而 不 被 发 现 的 隐蔽 通道 。 

有 人 说 , 留 后 门 是 一 种 艺术 。 留 后 门 并 不 是 一 项 简单 的 工作 ,人 侵 者 不 但 要 留 下 下 次 进 
人 的 通道 ,而且 还 要 对 自己 所 做 的 一 切 加 以 隐藏 ,如 果 建 立 起 的 后 门 马上 就 被 管理 员 发 现 就 
没有 任何 用 处 了 。 所 以 ,只 要 是 不 容易 被 发 现 的 后 门 都 是 好 后 门 。 

1. 留 后 门 的 目的 

(1) 保持 对 目标 系统 的 长 期 控制 ; 

(2) 监听 目标 系统 的 行动 或 记录 目标 系统 的 敏感 信息 ,随时 报告 人 侵 者 。 

2. 后 门 的 分 类 

留 后 门 的 方法 多 不 胜 数 ,可 以 利用 不 同 后 门 的 特点 对 后 门 进 行 分 类 。 

按 后 门 的 整体 特点 可 分 为 主动 后 门 和 被 动 后 门 。 主 动 后 门 是 后 门 程序 主动 监听 某 个 端 
口 或 进程 ,随时 等 待 连接 ,后 门 的 特征 非常 明显 。 被 动 后 门 不 会 做 任何 工作 ,只 有 连接 者 去 
连接 的 时 候 才 能 表现 出 后 门 的 特征 。 

按 开放 端口 情况 可 分 为 开放 端口 的 后 门 , 不 开放 端口 的 后 门 .利用 系统 已 经 开放 的 端口 
的 后 门 。 

按 工 作 模 式 可 分 为 命令 模式 的 后 门 、 图 形 界面 的 后 门 .B/S 结构 基于 浏览 器 的 后 门 。 

按 连 接 模式 可 分 为 正 向 连接 后 门 、 反 向 连接 后 门 。 


3.7 清除 日 志 


清除 日 志 是 黑客 人 侵 的 最 后 的 一 步 , 黑 客 能 做 到 来 无 影 去 无 踪 , 这 一 步 起 到 决定 性 的 作 
用 。 大 多 数 系统 都 是 通过 记录 日 志文 件 来 检测 是 谁 进 入 过 系统 并 且 停 留 了 多 长 时 间 , 根 据 
日 志文 件 所 设置 的 级 别 不 同 , 还 可 以 发 现 和 人 侵 者 做 了 些 什 么 ,对 哪些 文件 进行 了 操作 。 

1. 清除 IIS 日 志 

当 用 户 访问 某 个 IIS 服务 器 后 ,无 论 是 正常 的 访问 还 是 非 正 常 的 访问 ,IIS 都 会 记录 访 
问 者 的 IP 地 址 以 及 访问 时 间 等 信息 。 这 些 信息 记录 在 Winnt\System32\logFiles 目录 下 ， 
打开 任 一 文件 夹 下 的 任 一 文件 ,可 以 看 到 IIS 日 志 的 基本 格式 ,记录 了 用 户 访问 的 服务 器 文 
件 、 用 户 登 录 时 间 、 用 户 的 IP 地 址 ,以 及 用 户 浏 览 器 和 操作 系统 的 版 本 号 。 

清除 IIS 日 志 的 最 简单 的 方法 是 直接 到 该 目录 下 删除 这 些 文件 夹 ,但 是 全 部 删除 文件 
后 ,一 定 会 引起 管理 员 的 怀疑 。 一般 入 侵 的 过 程 是 短暂 的 ,只 会 保存 到 一 个 LOG 文件 中 ， 
只 要 在 该 LOG 文件 中 删除 所 有 自己 的 记录 即 可 。 也 可 以 使 用 工具 软件 CleanIISLog. exe 
等 清除 指定 的 IIS 日 志 记录 。 

2. 清除 主机 日 志 

主机 日 志 包 括 三 类 日 志 : 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 。 可 以 在 计算 机 上 通过 
控制 面板 下 的 管理 工具 下 的 “事件 查看 器 ”查看 日 志 信息 。 当 非法 入 侵 对 方 的 计算 机 后 ,这 
些 日 志 同 样 会 记载 一 些 人 侵 者 的 信息 ,为 了 防止 被 发 现 , 也 需要 清除 这 些 日 志 。 清 除 主机 日 
志 可 以 使 用 clearlogs. exe 等 工具 软件 实现 。 
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一 、 填 空 题 

1. X. 800 和 RFC 2828 对 网 络 攻击 进行 了 分 类 ,分 为 被 动 攻击 和 主动 攻击 。( ) 试 
图 获得 或 利用 系统 的 信息 ,但 不 会 对 系统 的 资源 造成 破坏 。 

2. 主动 攻击 一 般 分 为 伪装 攻击 、( ) .消息 自 改 和 拒绝 服务 攻击 4 类。 

3. 网 络 攻 击 五 部 曲 包 括 ( ”) ,信息 搜集 、 实 施 入 侵 \ 保 持 访问 和 隐藏 踪迹 。 

4.( ) 是 伪造 某 台 主机 的 IP 地 址 的 技术 ,其 实质 就 是 让 一 台 主 机 来 扮演 另 一 台 主 
机 ,以 达到 隐藏 自己 的 目的 。 

5.〈  ”) 是 依靠 发 送 FIN 来 判断 目标 计算 机 的 指定 端口 是 否 活动 ,也 称 为 秘密 扫描 。 

6. 网 卡 的 工作 模式 包括 广播 模式 ` 组 播 模式 .直接 模式 和 ( 路 

7: ) 就 是 利用 人 们 的 心理 特征 骗取 用 户 的 信任 ,获取 机 密 信息 、 系 统 设置 等 不 公 


开 的 资料 。 
8.( ) 是 指 当 计 算 机 程序 向 缓冲 区 内 填充 的 数据 位 数 超过 缓冲 区 本 身 的 空间 ,溢出 
的 数据 覆盖 在 合法 数据 上 。 


9. 木马 的 连接 方式 包括 传统 连接 方式 和 ( ) 连 接 方式 。 
10. 一 个 比较 完善 的 DDoS 攻击 体系 分 成 ) .攻击 服务 器 、 攻 击 器 和 目标 主机 4 个 
部 分 。 


二 、 选 择 题 
1. 在 黑客 攻击 技术 中 ,( ) 是 黑客 发 现 获得 主机 信息 的 一 种 最 佳 途径 。 

A. 端口 扫描 B. 缓冲 区 溢出 C. 网 络 监 听 D. 口令 破解 
2. 字典 攻击 被 用 于 ( Ne 

A. 用 户 欺骗 B. 远程 登录 C. 网 络 嗅 探 D. 破解 密码 
3. 一 次 字典 攻击 能 否 成 功 ,主要 决定 于 ( ys 

A. 字典 文件 B. 计算 机 性 能 C. 网 络 速度 D. 黑客 经 验 
4. 为 了 防御 网 络 监 听 , 最 常用 的 方法 是 ( ys 

A. 采用 物理 传输 ( 非 网 络 ) B. 信息 加 密 

C. 无 线 网 D. 使 用 专线 传输 
5. 向 有 限 的 空间 输入 超 长 的 字符 串 是 ( ) 攻 击 。 

A. 缓冲 区 溢出 B. 网 络 监听 C. 端口 扫描 D. IP 欺骗 


6. 使 用 服务 器 中 充斥 着 大 量 要 求 回复 的 信息 ,消耗 带宽 ,导致 网 络 或 系统 信息 无 法 正 
常服 务 , 这 属于 ( ) 攻 击 。 


A. 拒绝 服务 B. 文件 共享 

C. BIND 漏洞 D. 远程 过 程 调用 
7. 拒绝 服务 攻击 是 对 计算 机 网 络 的 ( ) 安 全 属性 的 破坏 。 

A. 保密 性 B. 完整 性 


C. 可 用 性 D. 不 可 否认 性 


8. 假如 你 向 一 台 远 程 主机 发 送 特定 的 数据 包 , 却 不 想 远 程 主机 响应 你 的 数据 包 , 这 是 
( ) 攻 击 手 段 。 


A. 缓冲 区 溢出 B. 地 址 欺骗 


C. 拒绝 服务 D. 暴力 攻击 


9. 小 李 在 使 用 super scan 对 网 络 进行 扫描 时 发 现 , 某 一 个 主机 开放 了 25 和 110 端口 ， 
此 主机 最 有 可 能 是 ( Ws 


A. 文件 服务 器 B. 邮件 服务 器 


C，Web 服务 器 D. DNS 服务 器 


10. 在 DDoS 攻击 中 ,通过 非法 入 侵 并 被 控制 ,但 并 不 向 被 攻击 者 直接 发 起 攻击 的 计算 


机 称 为 ( 


El 


12. 


13. 


14. 


16. 


1 


18. 


19, 


)。 


A. 攻击 控制 台 B. 攻击 服务 器 


C. 攻击 器 D. 目标 主机 


对 利用 软件 缺陷 进行 的 网 络 攻击 ,最 有 效 的 防范 方法 是 ( )。 


A. 及 时 更 新 补丁 程序 

C. 安装 防火 墙 

缓冲 区 溢出 的 最 大 危害 是 ( ”)。 
A. 使 系统 骨 溃 

C. 管理 员 权 限 下 运行 黑客 程序 


B. 安装 防 病毒 软件 
D. 安装 漏洞 扫描 软件 


B. 使 系统 运行 出 错 
D. 侵占 其 他 用 户 内 存 


C ) 不 是 以 破坏 信息 可 用 性 为 目的 的 攻击 行为 。 


A. Ping of Death B. SYN 泛 洪 
端口 扫描 技术 ( 3 

A. 只 能 作为 攻击 工具 

B. 只 能 作为 防御 工具 

C. 只 能 作为 检查 系统 漏洞 的 工具 


C. 安装 后 门 程序 ”D. DDoS 


D. 既 可 以 作为 攻击 工具 ,也 可 以 作为 防御 工具 
) 。 


. 采用 模拟 攻击 漏洞 探测 技术 的 好 处 是 ( 


A. 可 以 探测 到 所 有 漏洞 

C. 对 目标 系统 没有 负面 影响 

半 连 接 端口 扫描 技术 显著 的 特点 是 ( 
A. 不 需要 特殊 权限 

B. 不 会 在 日 志 中 留 下 任何 记录 

C. 不 建立 完整 的 TCP 连接 

D. 可 以 扫描 到 UDP 端口 


以 下 对 DoS 攻击 的 描述 ,正确 的 是 ( Ys 


A. 不 需要 侵入 受 攻击 的 系统 
B. 以 窃取 目标 系统 上 的 机 密 信息 为 目的 


Xs 


C. 导致 目标 系统 无 法 正常 处 理 用 户 的 请 求 
D. 若 目标 系统 没有 漏洞 ,远程 攻击 不 会 成 功 
Windows 系统 能 设置 在 几 次 无 效 登录 后 锁定 账号 ,可 以 防止 和 


A. 木马 B. 暴力 破解 
TCP SYN 泛 洪 攻击 的 原理 是 利用 了 ( 
A. TCP 三 次 握手 过 程 


B. 完全 没有 破坏 性 
D. 探测 结果 准确 率 高 


C. IP 欺骗 D. 缓冲 区 溢出 


Ns 


B. TCP 面向 流 的 工作 机 制 
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21. 


22. 


23. 
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26. 


27. 


28. 


29. 


C. TCP 数据 传输 中 的 窗口 技术 D. TCP 连接 终止 时 的 FIN 报 文 
. 木马 与 病毒 的 最 大 区 别 是 ( )。 


. 木马 不 破坏 文件 ,而 病毒 会 破坏 文件 
木马 无 法 自我 复制 ,而 病毒 能 够 自我 复制 


C. 木马 无 法 使 数据 丢失 ,而 病毒 会 使 数据 丢失 

D. 木马 不 具有 潜伏 性 ,而 病毒 有 潜伏 性 

木马 无 法 通过 ( ) 隐 藏 自己 。 

A. 任务 栏 B. 任务 管理 器 

C. 邮件 服务 器 D. 修改 系统 配置 文件 
计算 机 感染 木马 后 的 典型 现象 是 ( hs 

A. 程序 异常 退出 B. 有 未 知 程序 试图 建立 网 络 连 接 
C， 邮箱 被 垃圾 邮件 填 满 D. Windows 系统 黑屏 
SYN 泛 洪 攻击 利用 ( ds 

A. 操作 系统 漏洞 B. 通信 协议 缺陷 

C. 缓冲 区 溢出 D. 用 户 警 惕 性 不 够 


以 下 ( ) 不 属于 防止 口令 猜测 的 措施 。 


A. 严格 限定 从 一 个 给 定 的 终端 进行 非法 认证 的 次 数 

B. 确保 口令 不 在 终端 上 再 现 

C. 防止 用 户 使 用 太 短 的 口令 

D. 使 用 机 器 产生 的 口令 

( ) 不 是 以 破坏 信息 保密 性 为 目的 的 攻击 行为 。 

A. 信息 嗅 探 B. 信息 截获 

C. 安装 后 门 程序 D. DDoS 

属于 操作 系统 中 日 志 记录 功能 的 是 ( )。 

A. 控制 用 户 的 作业 排序 和 运行 

B. 以 合理 的 方式 处 理 错误 事件 ,而 不 至 于 影响 其 他 程序 的 正常 运行 
C. 保护 系统 程序 和 作业 ,禁止 不 合 要 求 的 对 程序 和 数据 的 访问 
D. 对 计算 机 用 户 访问 系统 和 资源 的 情况 进行 记录 

( ) 不 是 黑客 发 现 主 机 系统 漏洞 的 步骤 。 

A. 通过 主机 扫描 发 现在 线 主 机 

B. 通过 端口 扫描 发 现 开 启 的 服务 

C. 通过 主动 探测 获得 操作 系统 类 型 和 版 本 号 

D. 骗取 用 户口 令 

‘ ) 是 最 主要 的 主机 系统 漏洞 。 

A. 缓冲 区 溢出 B. Unicode 漏洞 
C. Ping of Death D. Land 

( ) 不 是 对 主机 系统 实施 的 拒绝 服务 攻击 。 

A. Ping of Death B. SYN 泛 洪 

C. Smurf D. 穷 举 法 猜测 用 户 登 录 口 令 


31. 


32. 


33. 


34. 


36. 


37. 


38. 


> 人 ~ 


) 无 法 破坏 网 络 的 可 用 性 。 


. 病毒 B. 拒绝 服务 攻击 
C. 非法 访问 D. 线 缆 遭 受 破坏 
( 和 信息 保密 性 无 关 。 
A. 加 密 / 解 密 算 法 B. 终端 接 人 控制 
C. 病毒 D. 拒绝 服务 攻击 
( ，) 不 属于 主动 攻击 。 
A. 流量 分 析 B. 重 放 C. IP 地 址 欺骗 D. 拒绝 服务 
( ) 属 于 主动 攻击 。 
A. 算 改 和 破坏 数据 ” B. 嗅 探 数 据 C. 数据 流 分 析 D. 非法 访问 


关于 MAC 表 溢 出 攻击 ,以 下 选项 中 描述 错误 的 是 ( Ys 

A. MAC 表 能 够 存储 的 转发 项 是 有 限 的 

B. 交换 机 无 法 鉴别 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 
C. 交换 机 广播 没有 转发 项 与 之 匹配 的 MAC 帧 

D. 不 允许 存在 多 项 MAC 地 址 不 同 但 转发 端口 相同 的 转发 项 


. 关于 MAC 地 址 欺骗 攻击 ,以 下 选项 中 描述 错误 的 是 ( 95 


A. 交换 机 无 法 鉴别 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 

B. 交换 机 根据 最 新 的 MAC 帧 的 源 MAC 地 址 和 接收 端口 之 间 的 绑 定 关系 更 新 转 
发 项 

C. 终端 可 以 伪造 自己 的 MAC 地 址 

D. 允许 存在 多 项 MAC 地 址 相同 但 转发 端口 不 同 的 转发 项 

关于 ARP 欺骗 攻击 ,以 下 选项 中 描述 正确 的 是 ( Fs 

A. 广播 的 ARP 请 求 报 文中 给 出 黑客 终端 的 MAC 地 址 与 攻击 目标 的 IP 地 址 之 
间 的 绑 定 关系 

B. 广播 的 ARP 请 求 报 文 中 给 出 攻击 目标 的 MAC 地 址 与 黑客 终端 的 IP 地 址 之 间 
的 绑 定 关系 

C. 广播 的 ARP 请 求 报 文中 给 出 黑客 终端 的 MAC 地 址 与 黑客 终端 的 IP 地 址 之 间 
的 绑 定 关系 

D. 广播 的 ARP 请 求 报告 中 给 出 攻击 目标 的 MAC 地 址 与 攻击 目标 的 IP 地 址 之 
间 的 绑 定 关系 

关于 SYN 泛 洪 攻击 ,以 下 选项 中 描述 错误 的 是 ( 加 

A. TCP 会 话 表 中 的 连接 项 是 有 限 的 

B. 未 完成 建立 过 程 的 TCP 连接 占用 连接 项 

C. 用 伪造 的 网络 中 本 不 存在 的 IP 地 址 发 起 TCP 连接 建立 过 程 

D. 未 完成 建立 过 程 的 TCP 连接 永久 占用 连接 项 

关于 Smurf 攻击 ,以 下 选项 中 描述 错误 的 是 ( ) 。 

A. 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 源 IP 地 址 是 攻击 目标 的 IP 地 址 

B. 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 目的 IP 地 址 是 广播 地 址 

C. 接收 ICMP ECHO 请 求 报 文 的 终端 回 送 ICMP ECHO 响应 报 文 


才 ww 汽 


网 络 长 击 投 太 


网 络 作 会 基础 


40. 


41 


42. 


43. 


44. 


D. 单个 ICMP ECHO 请 求 报 文 只 能 引发 单个 ICMP ECHO 响应 报 文 


. 关于 间接 DDoS 攻击 ,以 下 选项 中 描述 错误 的 是 ( Ns 


A. 倪 偶 机 随机 生成 有 效 IP 地 址 集 

B. 正常 主机 系统 发 送 对 应 的 响应 报 文 

C. 正常 主机 系统 不 对 接收 到 的 请 求 报 文 进行 源 端 鉴别 

D. 斧 偏 机 发 送 的 请 求 报 文 以 随机 生成 的 有 效 IP 地 址 为 源 IP 地 址 

以 下 关于 网 络 钓鱼 的 说 法 中 ,不 正确 的 是 ( 法 

A. 网 络 钓鱼 融合 了 伪装 .欺骗 等 多 种 攻击 方式 

B. 网 络 钓鱼 与 Web 服务 没有 关系 

C. 典型 的 网 络 钓鱼 攻击 是 将 被 攻击 者 引诱 到 一 个 精心 设计 的 钓鱼 网 站 上 
D. 网 络 钓鱼 是 “社会 工程 攻击 ”的 一 种 形式 


. 关于 钓鱼 网 站 ,以 下 选项 中 描述 错误 的 是 ( Ds 


A. 黑客 构建 模仿 某 个 著名 网 站 的 假 网 站 
B. 假 网 站 的 IP 地 址 与 著名 网 站 的 IP 地 址 相同 
C. 正确 的 域名 得 到 错误 的 解析 结果 
D. 用 户 不 对 访问 的 网 站 的 身份 进行 鉴别 
利用 ICMP 进行 扫描 时 ,( ) 是 可 以 扫描 的 目标 主机 信息 。 
A. IP 地 址 B. 操作 系统 版 本 C. 漏洞 D. 弱 口 令 
关于 黑客 入 侵 , 以 下 选项 中 描述 错误 的 是 ( De 
. 存在 黑客 终端 与 攻击 目标 之 间 的 传输 路 径 
.攻击 目标 存在 漏洞 
. 黑客 通过 扫描 发 现 攻 击 目 标 存在 的 漏洞 
.黑客 必须 已 经 获取 攻击 目标 的 管理 员 账 户 信 息 
) 攻 击 与 操作 系统 漏洞 无 关 。 
. 非法 登录 主机 系统 
.向 主机 系统 植 和 病毒 
. 缓冲 区 溢出 
.消耗 掉 主 机 系统 连接 网 络 的 链 路 的 带宽 
) 不 是 ARP 欺骗 攻击 的 技术 原理 。 

. 终端 接收 到 ARP 报 文 .记录 ARP 报 文中 的 IP 地 址 与 MAC 地 址 对 
. 如果 ARP 缓冲 区 中 已 经 存在 IP 地 址 与 MAC 地 址 对 ,以 该 MAC 地 址 作为 该 

IP 地 址 的 解析 结果 
C. 可 以 在 ARP 报 文中 伪造 IP 地 址 与 MAC 地 址 对 
D. ARP 缓存 区 中 的 IP 地 址 与 MAC 地 址 对 存在 寿命 


内 一 只 了 由 见 天 一 只 了 内 


、 判 断 题 


1. TCP SYN 泛 洪 攻击 属于 一 种 典型 的 DoS 攻击 。 

2. 木马 有 时 称 为 木马 病毒 ,但 却 不 具有 计算 机 病毒 的 主要 特征 。 

3. 要 实现 DDoS 攻击 ,攻击 者 必须 能 够 控制 大 量 的 计算 机 为 其 服务 。 

4. 在 LAND 攻击 中 ,LAND 攻击 报 文 的 源 IP 地 址 和 目的 IP 地址 是 相同 的 。 


5. 拒绝 服务 攻击 就 是 利用 更 多 的 俐 偶 机 对 目标 发 起 进攻 ,使 目标 系统 资源 耗 尽 无 法 处 
理 正常 用 户 的 请 求 。 
四 、 简 答题 
.黑客 攻击 5 个 步骤 是 什么 ? 
. DDoS 攻击 由 哪 4 部 分 组 成 ? 
.端口 扫描 的 基本 原理 是 什么 ? 
. 什么 是 计算 机 网 络 安全 漏洞 ? 
什么 是 DoS? 
. 什么 是 字典 攻击 ? 
. 什么 是 Unicode 漏洞 ? 
. 简 述 网 络 扫描 的 步骤 。 
五 、 综 合 题 
1. 阅读 下 面 程序 ,回答 问题 (1) 一 (2) 。 


oo 门 宁 上 上 由己 


void function(char * str) 
{ 
char buffer[16]; 
strcopy(buffer, str); 


} 
void main() 
{ 
int t; 
char buffer[128]; 
for(i=0;i<127;i++) 
buffer[i] = 'A'; 
buffer[127] = 0; 
function(buffer); 
print("This is a test\n"); 


} 
(1) 上 述 代 码 存在 什么 类 型 的 安全 隐患 ? 
(2) 造成 上 述 隐 患 的 两 个 原因 是 什么 ? 
2. 阅读 以 下 说 明 , 回 答 问 题 (1) 一 (4) 。 
说 明 : 特洛伊 木马 是 一 种 基于 客户 机 /服务 器 模式 的 远程 控制 程序 ,黑客 可 以 利用 木马 
程序 入 侵 用 户 的 计算 机 系统 。 木 马 的 工作 模式 如 下 图 所 示 。 
端口 


攻击 者 | 控制 程序 3 入 侵 程序 Ny 
SS 


用 户 计 算 机 


防火 墙 
(1) 对 于 传统 的 木马 程序 ,侵入 被 攻击 主机 的 入 侵 程序 属于 QH _。 攻 击 者 一 旦 获取 
入 侵 程序 的 ”@ _, 便 与 它 连接 起 来 。 
Q A. 客户 程序 B. 服务 器 程序 C. 代理 程序 D. 系统 程序 
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@ A. 用 户 名 和 口令 B. 密 角 
C. 访问 权限 D. 地 址 和 端口 号 
(2) 以 下 _@ 和 @_ 属 于 计算 机 感染 特洛伊 木马 后 的 典型 现象 。 
@.@ A. 程序 堆栈 溢出 B. 有 未 知 程序 试图 建立 网 络 连接 
Cc， 邮箱 被 莫名 邮件 填 清 D. 系统 中 有 可 疑 的 进程 在 运行 


(3) 安装 了 防火 墙 软件 的 主机 可 以 利用 防火 墙 的 _、@ 功能, 有效 地 防止 外 部 非法 连 
接 来 拦截 木马 。 


@ A. 身份 认证 B. 地 址 转换 C. 日 志 记录 D. 包 过 滤 
(4) 以 下 措施 中 能 有 效 防治 木马 入 侵 的 有 @_ 和 @ 
@.D A. 不 随意 下 载 来 历 不 明 的 软件 B. 仅 开放 非 系统 端口 

C. 实行 加 密 数 据 传输 D. 实行 实时 网 络 连接 监控 程序 
3. 网 络 结构 如 下 图 所 示 ,回答 以 下 问题 。 


终端 A 


192.1.2.0/24 R2 192.1.3.0/24 


192.1.1.0/24 服务 器 


192.1.3.7/24 


(1) 如 果 终 端 A 想 要 通过 Smurf 攻击 服务 器 ,给 出 终端 A 发 送 的 三 种 类 型 的 ICMP 
ECHO 请 求 报 文 的 源 IP 和 目的 IP。 

(2) 如 果 要 求 网 络 能 够 阻止 终端 A 发 起 对 服务 器 的 Smurf 攻击 ,给 出 在 交换 机 S1、 路 
由 器 R1 和 路 由 器 R2 上 采取 的 措施 。 


第 4 章 计算 机 病毒 


【本 章 学 习 目标 】 

。 理解 计算 机 病毒 定义 

。， 了 解 计算 机 病毒 的 起 源 与 发 展 

。 掌握 计算 机 病毒 的 命名 方式 

。 了解 计算 机 病毒 的 分 类 和 特征 

。 掌握 计算 机 病毒 技术 

。 掌握 计算 机 病毒 的 检测 与 防范 方法 


4.1 计算 机 病毒 概述 


4.1.1 计算 机 病毒 的 定义 及 发 展 

1. 计算 机 病毒 定义 

计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 
明确 定义 ,病毒 指 “ 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 
机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

可 以 从 下 面 几 个 方面 来 理解 计算 机 病毒 的 定义 。 首 先 , 病 毒 是 通过 磁盘 或 网 络 等 媒介 
传播 扩散 且 能 “传染 ?其 他 程序 的 程序 。 其 次 ,病毒 能 够 实现 自我 复制 且 借 助 一 定 的 载体 存 
在 ,具有 潜伏 性 、 传 染 性 和 破坏 性 。 再 次 ,病毒 是 一 种 人 为 制造 的 程序 , 它 不 会 自然 产生 ,是 
精通 编程 的 人 精心 编制 的 ,通过 不 同 的 途径 寄生 在 存储 介质 中 , 当 条 件 成 熟 时 ,就 会 复制 、. 传 
播 ,甚至 变异 后 传播 ,使 计算 机 的 资源 受到 不 同 程度 的 破坏 。 

2. 计算 机 病毒 的 发 展 

随 着 计算 机 及 其 网 络 技术 的 快速 发 展 ,计算 机 病毒 日 趋 复杂 多 变 , 其 破坏 能 力 和 传播 能 
力也 不 断 增 强 。 计 算 机 病毒 的 发 展 主要 经 历 了 5 个 重要 阶段 。 

1) 原始 病毒 阶段 (第 一 阶段 ) 

1986 一 1989 年 ,计算 机 应 用 程序 较 少 ,大 部 分 为 单机 运行 ,计算 机 病毒 的 种 类 也 比较 
少 , 且 难 以 广泛 传播 ,清除 病毒 也 相对 容易 。 这 一 阶段 病毒 的 主要 特点 为 : 攻击 目标 和 破坏 
性 比较 单一 ,主要 通过 截获 系统 中 断 向 量 的 方式 监视 系统 的 运行 状态 ,并 在 一 定 的 条 件 下 对 
目标 进行 传染 ,病毒 程序 不 具有 自我 保护 功能 , 较 容易 被 人 们 分 析 、 识 别 和 清除 。 

2) 混合 型 病毒 阶段 (第 二 阶段 ) 

1989 一 1991 年 ,是 计算 机 病毒 由 简 到 繁 的 发 展 阶 段 。 随 着 计算 机 局 域 网 的 应 用 和 普 
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及 ,计算 机 病毒 达到 了 第 一 次 流行 高 峰 。 这 一 阶段 病毒 的 主要 特点 为 : 攻击 目标 趋 于 混合 ， 
以 更 为 隐蔽 的 方法 驻 留 在 内 存 和 传染 目标 中 ,系统 感染 病毒 后 没有 明显 的 特征 ,病毒 程序 具 
有 自我 保护 功能 ,出 现 众多 病毒 的 变种 。 

3) 多 态 型 病毒 阶段 (第 三 阶段 ) 

1992 年 一 20 世纪 90 年 代 中 期 ,病毒 的 主要 特点 为 : 在 每 次 传染 目标 时 , 放 入 宿主 程序 
中 的 病毒 程序 大 部 分 都 是 可 变 的 ,因此 防 病毒 软件 查 杀 非常 困难 。 如 1994 年 在 国内 出 现 的 
“幽灵 ?病毒 。 在 此 阶段 ,病毒 技术 开始 向 多 维 化 方向 发 展 。 

4) 网 络 病毒 阶段 (第 四 阶段 ) 

从 20 世纪 90 年 代 后 期 开始 , 随 着 国际 互联 网 的 广泛 发 展 ,依赖 互联 网 络 传播 的 邮件 病 
毒 和 安 病 毒 等 大 肆 泛 小, 病毒 呈现 出 传播 快 、 隐 蔽 性 强 、 破 坏 性 大 的 特点 。 从 这 一 阶段 开始 ， 
防 病毒 产业 开始 产生 并 逐步 成 为 规模 较 大 的 新 兴 产 业 。 

5) 主动 攻击 型 病毒 阶段 (第 五 阶段 ) 

近 几 年 ,典型 病毒 的 代表 为 “冲击 波 " 病 毒 “ 勒 索 ” 病 毒 和 木马 等 。 各 种 病毒 具有 主动 攻 
击 性 ,利用 操作 系统 的 漏洞 进行 攻击 性 的 传播 扩散 ,并 不 需要 任何 物理 媒介 或 操作 ,用 户 只 
要 接 入 互联 网 就 有 可 能 被 感染 ,病毒 对 网 络 系 统 软 硬件 和 重要 信息 的 危害 性 更 大 。 

3. 计算 机 病毒 的 命名 方式 

为 了 进行 防范 和 研究 防 病毒 技术 ,需要 规范 计算 机 病毒 的 命名 方式 。 通 常 综合 病毒 的 
特征 和 对 用 户 造 成 的 影响 等 多 方面 情况 ,由 防 病毒 厂商 给 出 一 个 合适 名 称 。 目 前 ,公安 部 门 
也 正在 规范 病毒 的 命名 。 病 毒 的 命名 并 无 统一 的 规定 ,不 同 防 病毒 厂商 的 命名 规则 也 不 尽 
一 致 ,基本 上 是 采用 前 后 级 法 来 进行 命名 。 命 名 由 多 个 前 缀 与 后 缀 组 合 , 中 间 以 点 “. 分隔， 
一 般 格式 为 : [前 级 ]. [病毒 名 ]. [后 级]。 如 震荡 波 蠕 虫 病毒 的 变种 为 Worm. Sasser. c, 其 
中 Worm 指 病毒 的 种 类 为 蠕虫 ,Sasser 是 病毒 名 ,c 指 该 病毒 的 变种 。 

1) 病毒 前 级 

病毒 前 级 表示 一 个 病毒 的 种 类 ,如 木马 病毒 的 前 级 是 Trojan, 蠕虫 病毒 的 前 缀 为 
Worm, 宏 病毒 的 前 级 是 Macro, 后 门 病毒 的 前 级 是 Backdoor, 脚 本 病毒 的 前 级 是 Script, 系 
统 病毒 的 前 级 是 Win32、PE、W32 等 ,捆绑 机 病毒 的 前 级 是 Binder, 玩笑 病毒 的 前 缀 是 
Joke。 

2) 病毒 名 

病毒 名 即 病毒 的 名 称 , 如 “病毒 之 母 "CIH 病毒 及 其 变种 的 名 称 一 律 为 CIH ,冲击 波 病 
毒 名 为 Blaster。 病 毒 名 也 有 一 些 约 定 俗 成 的 方式 ,可 按 病毒 发 作 的 时 间 命 名 ,如 黑色 星期 
五 病毒 ; 也 可 按 病毒 发 作 症 状 命名 ,如 小 球 病毒 ; 或 按 病毒 自身 包含 的 标志 命名 ,如 CIH 病 
毒 ; 还 可 按 病毒 发 现 地 命名 ,如 耶路撒冷 病毒 ; 或 按 病毒 的 字 节 长 度 命名 ,如 1575 病毒 。 

3) 病毒 后 级 

病毒 后 级 表示 一 个 病毒 的 变种 特征 ,一 般 是 采用 英文 中 的 26 个 字母 来 表示 。 如 
Worm. Sasser. c 是 指 震 荡 波 蠕虫 病毒 的 变种 <。 如 果 病 毒 的 变种 太 多 ,也 可 采用 数字 和 字 
母 混合 的 方式 来 表示 。 


4.1.2 计算 机 病毒 分 类 
通常 ,计算 机 病毒 可 按 如 下 方式 进行 分 类 。 


1. 按 寄生 方式 分 类 

(1) 引导 型 病毒 。 引 导 型 病毒 是 指 寄 生 在 磁盘 引导 区 或 主 引导 区 的 计算 机 病毒 。 此 种 
病毒 利用 系统 引导 时 ,不 对 主 引导 区 的 内 容 正 确 与 否 进行 判别 的 缺点 ,在 引导 系统 的 过 程 中 
侵入 系统 , 驻 留 内 存 , 监 视 系统 运行 ,伺机 传染 和 破坏 。 按 照 引 导 型 病毒 在 硬盘 上 的 寄生 位 
置 又 可 细 分 为 主 引导 记录 病毒 和 分 区 引导 记录 病毒 。 主 引导 记录 病毒 感染 硬盘 的 主 引导 
区 ,如 大 麻 病 毒 .2708 病毒 .火炬 病毒 等 ; 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记 
录 , 如 小 球 病毒 、Girl 病毒 等 。 

(2) 文件 型 病毒 。 文 件 型 病毒 是 指 能 够 寄生 在 文件 中 的 计算 机 病毒 。 这 类 病毒 程序 感 
染 可 执行 文件 或 数据 文件 。 如 1575/1591 病毒 .848 病毒 感染 COM 和 EXE 等 可 执行 文件 ; 
Macro/Concept、Macro/ Atoms 等 宏 病 毒 感染 DOC 文件 。 

(3) 复合 型 病毒 。 复 合 型 病毒 是 指 同时 具有 引导 型 病毒 和 文件 型 病毒 寄生 方式 的 计 
算 机 病毒 。 这 种 病毒 扩大 了 病毒 程序 的 传染 途径 , 它 既 感染 磁盘 的 引导 记录 ,又 感染 可 
执行 文件 。 当 染 有 此 种 病毒 的 磁盘 用 于 引导 系统 或 调用 执行 染 毒 文 件 时 ,病毒 会 被 激 
活 。 因 此 在 检测 .清除 复合 型 病毒 时 ,必须 全 面 彻底 地 根治 。 如 果 只 发 现 该 病毒 的 一 个 
特性 ,把 它 只 当 作 引 导 型 或 文件 型 病毒 进行 清除 ,虽然 表面 上 是 清除 了 ,但 还 留 有 隐患 , 
这 种 经 过 消毒 后 的 “洁净 ”系统 更 赋 有 攻击 性 。 这 种 病毒 有 Flip 病毒 .新 世 际 病毒 .One- 
half 病毒 等 。 

2. 按 破坏 性 分 类 

(1) 良性 病毒 。 良 性 病毒 是 指 那 些 只 是 为 了 展示 自己 ,并 不 彻底 破坏 系统 和 数据 ,但 会 
大 量 占用 CPU 时 间 , 增 加 系统 开销 ,降低 系统 工作 效率 的 一 类 计算 机 病毒 。 这 种 病毒 多 数 
是 恶作剧 者 的 产物 ,他 们 的 目的 不 是 为 了 破坏 系统 和 数据 ,而 是 为 了 让 使 用 染 毒 计算 机 的 用 
户 通过 显示 器 或 扬声器 看 到 或 听 到 病毒 设计 者 的 编程 技术 。 这 类 病毒 有 小 球 病毒 、1575/ 
1591 病毒 救护 车 病毒 、 女 鬼 病毒 .Dabi 病毒 等 。 

(2) 恶性 病毒 。 恶 性 病毒 是 指 那些 一 旦 发 作 后 ,就 会 破坏 系统 或 数据 ,造成 计算 机 系统 
瘫痪 的 一 类 计算 机 病毒 。 这 类 病毒 有 黑色 星期 五 病毒 .火炬 病毒 ,. 米 开朗 基 罗 病毒 等 。 这 种 
病毒 危害 性 极 大 ,有 些 病 毒 发 作 后 可 能 给 用 户 造成 不 可 挽回 的 损失 。 

3. 按 人 侵 方 式 分 类 

(1) 源 代 码 嵌 入 攻击 型 。 这 类 病毒 人 侵 的 主要 是 高 级 语言 的 源 程序 ,病毒 在 源 程序 编 
译 之 前 搬入 病毒 代码 ,最 后 随 源 程 序 一 起 被 编译 成 可 执行 文件 ,这 样 刚 生成 的 文件 就 是 带 毒 
文件 。 

(2) 代码 取代 攻击 型 。 这 类 病毒 主要 用 它 自身 的 病毒 代码 取代 某 个 入 侵 程 序 的 整个 或 
部 分 模块 ,这 类 病毒 比较 少见 , 它 主 要 攻击 特定 的 程序 ,针对 性 较 强 ,但 是 不 易 被 发 现 ,清除 
起 来 比较 困难 。 

(3) 系统 修改 型 。 这 类 病毒 主要 是 通过 自身 程序 覆盖 或 修改 系统 中 的 某 些 文件 来 达到 
调用 或 替代 操作 系统 中 的 部 分 功能 ,由 于 是 直接 感染 系统 ,危害 较 大 ,是 最 为 多 见 的 一 种 病 
毒 类 型 ,多 为 文件 型 病毒 。 

(4) 外 壳 附加 型 。 这 类 病毒 通常 被 附加 在 正常 程序 的 头 部 或 尾部 ,相当 于 给 程序 添加 
了 一 个 外 壳 ,在 被 感染 的 程序 执行 时 ,病毒 代码 先 被 执行 ,然后 才 将 正常 程序 调和 内存。 
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4.1.3 计算 机 病毒 的 主要 特征 


要 防范 计算 机 病毒 ,首先 需要 了 解 计算 机 病毒 的 特征 和 破坏 机 理 ,为 防范 和 清除 计算 机 
病毒 提供 真实 可 靠 的 依据 。 根 据 对 计算 机 病毒 的 产生 ,传染 和 破坏 行为 的 分 析 , 计 算 机 病毒 
一 般 具有 以 下 特征 : 非 授 权 可 执行 性 、 隐 蔽 性 、 传 染 性 ,潜伏 性 \ 破 坏 性 (表现 性 ) 和 可 触 
发 性 。 

1. 非 授 权 可 执行 性 

用 户 在 调用 执行 一 个 程序 时 ,通常 把 系统 控制 权 交 给 这 个 程序 ,并 分 配给 它 相 应 的 系统 
资源 ,如 内 存 , 从 而 使 之 能 够 运行 完成 用 户 的 需求 ,因此 程序 执行 的 过 程 对 用 户 是 透明 的 。 
正常 用 户 不 会 明知 是 病毒 程序 ,而 故意 调用 执行 。 计 算 机 病毒 虽然 是 非法 程序 ,但 具有 正常 
程序 的 一 切 特性 ,如 可 存储 性 、 可 执行 性 。 它 隐藏 在 合法 的 程序 或 数据 中 , 当 用 户 运 行 正常 
程序 时 ,病毒 伺机 窃取 到 系统 的 控制 权 , 得 以 抢先 运行 ,然而 此 时 用 户 还 认为 是 在 执行 正常 
程序 。 

2. 隐蔽 性 

计算 机 病毒 是 一 种 编程 技巧 高 超 短小精悍 的 可 执行 程序 。 它 通常 粘 附 在 正常 程序 中 
或 磁盘 引导 扇 区 中 ,或 者 磁盘 上 标 为 坏 复 的 扇 区 中 ,以 及 一 些 空闲 概率 较 大 的 扇 区 中 ,这 是 
它 的 非法 可 存储 性 。 病 毒 想方设法 隐藏 自身 ,就 是 为 了 防止 用 户 察 觉 。 

3. 传染 性 

计算 机 病毒 不 但 自身 具有 破坏 性 ,更 有 害 的 是 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 变 
种 ,其 发 展 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 ,病毒 通过 传染 从 
一 个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 , 它 可 得 到 大 量 繁殖 ,并 使 被 感染 的 生物 
体 表 现 出 病症 甚至 死亡 。 同 样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 
未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 闪 痪 。 与 生物 病毒 不 
同 的 是 ,计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 段 程序 代码 一 旦 进入 计算 机 并 得 
以 执行 , 它 就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 
其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计算 机 染 毒 , 如 不 及 时 处 理 , 病 毒 会 在 这 台 计 算 机 上 
迅速 扩散 ,通过 各 种 可 能 的 渠道 ,如 U 盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 当 在 一 台 计 算 
机 上 发 现 病毒 时 ,往往 曾 在 这 台 计 算 机 上 用 过 的 U 盘 已 被 感染 病毒 ,而 与 这 台 计 算 机 联网 
的 其 他 计算 机 也 许 也 被 该 病毒 传染 上 了 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病 
毒 的 最 重要 条 件 。 病 毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 把 自身 嵌入 到 其 中 以 达到 
病毒 的 传染 和 扩散 。 

4. 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 媒体 而 寄生 的 能 力 , 这 种 媒体 我 们 称 为 计算 机 病毒 的 宿主 。 
依靠 病毒 的 寄生 能 力 ,病毒 传染 合法 的 程序 和 系统 后 ,不 立即 发 作 ,而 是 悄悄 隐藏 起 来 ,然后 
在 用 户 未 察觉 的 情况 下 进行 传染 。 因 此 ,病毒 的 潜伏 性 越 好 , 它 在 系统 中 存在 的 时 间 就 越 
长 ,病毒 传染 的 范围 也 越 广 ,其 危害 性 也 越 大 。 

5. 破坏 性 (表现 性 ) 

无 论 何 种 病毒 程序 一 旦 侵入 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 。 即 使 不 
直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 资源 (如 占用 内 存 空间 ,占用 磁盘 存储 空间 以 及 


系统 运行 时 间 等 ) 。 而 绝 大 多 数 病毒 程序 要 显示 一 些 文字 或 图 像 ,影响 系统 的 正常 运行 ,还 
有 一 些 病毒 程序 删除 文件 ,加 密 磁盘 中 的 数据 ,其 至 摧毁 整个 系统 和 数据 ,使 之 无 法 恢复 , 造 
成 无 可 挽回 的 损失 。 因 此 ,病毒 程序 的 负面 作用 体现 在 轻 者 降低 系统 工作 效率 , 重 者 导致 系 
统 骨 溃 、 数 据 丢失 。 病 毒 程序 的 破坏 性 或 表现 性 体现 了 病毒 设计 者 的 真正 意图 。 

6. 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 满 足 其 触发 条 件 可 以 激活 病毒 的 传染 机 
制 , 使 之 进行 传染 ,或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 是 一 种 条 件 的 控制 ， 
病毒 程序 可 以 依据 设计 者 的 要 求 , 在 一 定 条 件 下 实施 攻击 。 这 个 条 件 可 以 是 敲 入 特定 字符 ， 
使 用 特定 文件 , 某 个 特定 日 期 或 特定 时 刻 ,或 者 是 病毒 内 置 的 计数 器 达到 一 定 次 数 等 。 


4.2 计算 机 病毒 的 结构 与 危害 


4.2.1 计算 机 病毒 的 结构 


计算 机 病毒 种 类 很 多 ,但 其 结构 一 般 由 三 部 分 构成 , 即 引 导 模 块 , 传 播 模 块 和 表现 模块 。 

1. 引导 模块 

引导 模块 的 功能 是 将 病毒 加 载 到 内 存 中 ,并 对 其 存储 空间 进行 保护 ,以 防 被 其 他 程序 所 
覆盖 ,同时 修改 一 些 中 断 及 高 端 内 存 , 保 存 原 中 断 向 量 等 系统 参数 ,为 传播 做 准备 。 它 也 称 
为 潜伏 机 制 模块 ,具有 初始 化 .隐藏 和 捕 提 功能。 引导 模块 随 着 感染 的 宿主 程序 的 运行 进入 
内 存 , 先 初始 化 运行 环境 ,为 传染 机 制 做 好 准备 ; 然后 ,利用 各 种 隐藏 方式 躲避 检测 ,欺骗 系 
统 ; 最 后 ,不 断 捕捉 感染 目标 交 给 传播 模块 。 

2. 传播 模块 

传播 模块 是 病毒 程序 的 核心 ,其 主要 功能 是 传播 病毒 ,一 般 由 两 部 分 构成 ,传播 条 件 判 
断 部 分 和 传播 部 分 。 前 者 的 功能 是 判断 计算 机 系统 是 否 达 到 病毒 传播 的 条 件 ,不 同 病 毒 的 
传播 条 件 不 同 。 后 者 的 功能 是 在 满足 传播 条 件 时 ,实施 具体 的 病毒 传播 ,按照 制定 的 传播 方 
式 将 病毒 程序 嵌入 到 传播 目标 中 。 

3. 表现 模块 

表现 模块 由 两 部 分 构成 : 一 是 病毒 的 触发 条 件 判断 部 分 ,二 是 病毒 的 具体 表现 部 分 。 
当 判 断 触 发 条 件 满足 时 ,就 会 调用 病毒 的 具体 表现 部 分 ,对 计算 机 系统 进行 干扰 和 破坏 。 表 
现 部 分 在 不 同 病 毒 程序 中 的 具体 破坏 和 影响 不 同 。 


4.2.2 计算 机 病毒 的 危害 


计算 机 病毒 ,既然 称 之 为 病毒 ,自然 对 计算 机 用 户 具 有 一 定 的 危害 ,这 种 危害 通常 表现 
在 以 下 7 个 方面 。 

1. 破坏 数据 

大 部 分 病毒 在 激发 时 会 直接 破坏 计算 机 的 重要 信息 数据 ,其 所 利用 的 手段 有 格式 化 磁 
盘 , 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 “垃圾 ”数据 改写 文件 破坏 
CMOS 设置 等 。 

2. 占用 磁盘 空间 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 一 般 的 侵占 方式 是 由 
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病毒 本 身 占 据 磁盘 引导 扇 区 ,而 把 原来 的 引导 区 转移 到 其 他 扇 区 , 即 引导 型 病毒 要 覆盖 一 个 
磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ,无 法 恢复 。 文 件 型 病毒 利用 一 些 DOS 功能 进行 
传染 ,这 些 DOS 功能 能 够 检测 出 磁盘 的 未 用 空间 ,把 病毒 的 传染 部 分 写 到 磁盘 的 未 用 空间 
去 。 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数据 ,但 非法 侵占 了 磁盘 空间 ,一些 文件 型 
病毒 传染 速度 很 快 ,在 短 时 间 内 感染 大 量 文件 ,每 个 文件 都 不 同 程度 地 加 长 了 ,就 造成 磁盘 
空间 的 严重 浪费 。 

3. 抢占 系统 资源 

除 Vienna、Casper 等 少数 病毒 外 ,其 他 大 多 数 病 毒 在 动态 下 都 是 常 驻 内 存 的 ,这 就 必然 
抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 ,病毒 抢占 内 
存 , 导 致 内 存 减 少 , 一 部 分 软件 不 能 运行 。 另 外 ,病毒 还 抢占 中 断 , 干 扰 系 统 运行 。 

4. 影响 计算 机 运行 速度 

病毒 进驻 内 存 后 不 但 干扰 系统 运行 ,还 影响 计算 机 速度 。 有 些 病毒 为 了 保护 自己 ,不 但 
对 磁盘 上 的 静态 病毒 加 密 ,而且 进 驻 内 存 后 的 动态 病毒 也 处 在 加 密 状态 。CPU 每 次 寻 址 到 
病毒 处 时 要 运行 一 段 解 密 程序 把 加 密 的 病毒 解密 成 合法 的 CPU 指令 再 执行 ; 而 病毒 运行 
结束 时 再 用 一 段 程序 对 病毒 重新 加 密 。 这 样 CPU 需 额外 执行 数 千 条 以 至 上 万 条 指令 。 

5. 病毒 错误 导致 危害 

计算 机 病毒 与 其 他 计算 机 软件 的 一 大 差别 是 病毒 的 无 责任 性 。 编 制 一 个 完善 的 计算 机 
软件 需要 耗费 大 量 的 人 力 ,物力 ,经 过 长 时 间 调 试 完善 ,软件 才能 推出 。 但 在 病毒 编制 者 看 
来 既 没有 必要 这 样 做 ,也 不 可 能 这 样 做 。 很 多 计算 机 病毒 都 是 个 别人 在 一 台 计 算 机 上 匆匆 
编制 调试 后 就 向 外 抛 出 的 。 反 病毒 专家 在 分 析 大 量 病毒 后 发 现 绝 大 部 分 病毒 都 存在 不 同 程 
度 的 错误 ,错误 病毒 的 另 一 个 主要 来 源 是 变种 病毒 。 有 些 初学 编程 者 尚 不 具备 独立 编制 软 
件 的 能 力 ,出 于 好 奇 或 其 他 原因 修改 别人 的 病毒 ,造成 错误 。 计 算 机 病毒 错误 所 产生 的 后 果 
往往 是 不 可 预见 的 , 反 病 毒 工作 者 曾经 详细 指出 黑色 星期 五 病毒 存在 9 处 错误 ,乒乓 病毒 有 
5 处 错误 等 。 

6. 计算 机 病毒 的 兼容 性 影响 系统 运行 

兼容 性 是 计算 机 软件 的 一 项 重要 指标 ,兼容 性 好 的 软件 可 以 在 各 种 计算 机 环境 下 运行 ， 
反之 兼容 性 差 的 软件 则 对 运行 条 件 有 有 具体 要 求 ,要 求 机 型 和 操作 系统 版 本 等 。 病 毒 的 编制 
者 一 般 不 会 在 各 种 计算 机 环境 下 对 病毒 进行 测试 ,因此 病毒 的 兼容 性 较 差 ,常常 导致 死机 。 

7. 计算 机 病毒 给 用 户 造成 严重 的 心理 压力 

据 有 关 计 算 机 销售 部 门 统计 ,用 户 怀疑 计算 机 有 病毒 而 提出 咨询 约 占 售 后 服务 工作 量 
的 60% 以 上 。 经 检测 确实 存在 病毒 的 约 占 70%, 男 有 30% 的 情况 只 是 用 户 怀疑 ,而 实际 上 
计算 机 并 没有 感染 病毒 。 那 么 用 户 怀疑 病毒 的 理由 是 什么 呢 ? 多 半 是 出 现 诸如 计算 机 死 
机 、 软 件 运行 异常 等 现象 。 这 些 现 象 确实 很 有 可 能 是 计算 机 病毒 造成 的 ,但 又 不 一 定 是 病毒 
引起 的 ,实际 上 计算 机 工作 异常 的 时 候 很 难 要 求 一 位 普通 用 户 去 准确 判断 是 否 是 病毒 所 为 。 
大 多 数 用 户 对 病毒 采取 宁可 信 其 有 的 态度 ,这 对 于 保护 计算 机 安全 无 疑 是 十 分 必要 的 ,然而 
往往 要 付出 时 间 金钱 等 方面 的 代价 。 仅 仅 怀疑 病毒 而 冒 然 格式 化 磁盘 所 带 来 的 损失 更 是 
难以 弥补 。 不 仅 是 个 人 单机 用 户 ,在 一 些 大 型 网 络 系统 中 也 难免 为 甄别 病毒 而 停机 。 总 之 
计算 机 病毒 像 * 幽 灵 ” 一 样 笼罩 在 广大 计算 机 用 户 心 头 ,给 人 们 造成 巨大 的 心理 压力 , 极 大 地 
影响 了 现代 计算 机 的 使 用 效率 ,由 此 带 来 的 经 济 损失 是 难以 估量 的 。 


4.3 计算 机 病毒 技术 


随 着 软件 技术 的 发 展 ,计算 机 病毒 所 使 用 的 技术 也 越 来 越 复杂 化 。 黑 客 们 不 断 研究 最 
新 的 计算 机 技术 ,不 断 尝 试 把 新 技术 用 于 病毒 ,例如 寄生 技术 、 驻 留 技 术 、 加 密 变 形 技 术 、 隐 
藏 技术 等 。 


4.3.1 寺 生 技术 


病毒 寄生 技术 是 文件 型 病毒 最 常用 的 传染 方法 。 病 毒 在 感染 的 时 候 ,将 病毒 代码 加 入 
正常 程序 之 中 , 原 正常 程序 功能 的 全 部 或 者 部 分 被 保留 。 根 据 病毒 代码 加 入 方式 的 不 同 , 病 
毒 寄生 技术 可 以 分 为 头 寄生 、 尾 寄生 、 插 入 寄生 和 空洞 利用 4 种。 前 三 种 是 源 病毒 代码 插入 
宿主 程序 位 置 的 不 同 ; 而 空洞 利用 的 原理 是 Windows 可 执行 文件 的 结构 非常 复杂 ,里 面 会 
有 很 多 没有 使 用 的 部 分 ,一般 是 空 的 段 或 者 每 个 段 的 最 后 部 分 。 病 毒 寻 找到 这 些 没有 使 用 
的 部 分 ,然后 将 病毒 代码 分 散 到 其 中 ,因为 被 感染 文件 的 大 小 没有 发 生变 化 ,这 样 就 实现 了 
令 人 难以 觉察 的 感染 。 著 名 的 CIH 病毒 就 是 使 用 了 空洞 利用 寄生 技术 。 当 然 ,PE 格式 的 
修改 是 很 困难 的 ,一 点 小 的 错误 就 将 使 宿主 程序 不 能 运行 。 

1. 头 寄生 

实现 将 病毒 代码 放 到 程序 的 头 上 有 两 种 方法 : 一 种 是 将 原来 程序 的 前 面 一 部 分 拷贝 到 
程序 的 最 后 ,然后 将 文件 头 用 病毒 代码 覆盖 ; 另 一 种 是 生成 一 个 新 的 文件 ,首先 在 头 的 位 置 写 
上 病毒 代码 ,然后 将 原来 的 可 执行 文件 放 在 病毒 代码 的 后 面 , 再 用 新 的 文件 蔡 换 原来 的 文件 。 

使 用 头 寄 生 方 式 的 病毒 基本 上 感染 的 是 批 处 理 文件 和 COM 文件 ,因为 这 些 文件 在 运 
行 的 时 候 不 需要 重新 定位 ,所 以 可 以 任意 调换 代码 的 位 置 而 不 发 生 错误 。 头 寄生 的 方式 如 
图 4-1 所 示 。 


原 程序 代码 头 病毒 代码 


感染 方式 1 
原 程序 代码 原 程序 代码 


病毒 代码 原 程序 代码 头 
原 程序 代码 头 


感染 方式 2 


原 程序 代码 


图 4-1 头 寄 生 的 方式 


随 着 病毒 编码 水 平 的 提高 ,很 多 感染 DOS 下 的 EXE 文件 和 视窗 系统 的 EXE 文件 的 病 
毒 也 用 了 头 寄生 的 方式 。 为 使 得 被 感染 的 文件 仍然 能 够 正常 运行 ,病毒 在 执行 原来 程序 之 
前 会 还 原 出 原来 没有 感染 过 的 文件 用 来 正常 执行 ,执行 完毕 之 后 再 进行 一 次 感染 ,保证 硬盘 
上 的 文件 处 于 感染 状态 ,而 执行 的 文件 是 一 切 正常 的 ,如 图 4-2 所 示 。 

2. 尾 寄 生 

由 于 在 头 部 寄生 不 可 避免 地 会 遇 到 重新 定位 的 问题 ,所 以 最 简单 也 是 最 常用 的 寄生 方 
法 是 直接 将 病毒 代码 附加 到 可 执行 程序 的 尾部 。 对 于 DOS 环境 下 COM 可 执行 文件 来 说 ， 


计算 机 涤 素 


地 上 四 


EXE 文 件 头 感染 后 的 EXE 文 件 头 
病毒 代码 


EXE 可 执行 文件 的 内 容 


EXE 可 执行 文件 的 内 容 


执行 时 还 原 
图 4-2 EXE 文 件 头 寄生 方式 


由 于 COM 文件 就 是 简单 的 二 进 制 代码 ,没有 任何 结构 信息 ,所 以 可 以 直接 将 病毒 代码 附加 
到 程序 的 尾部 ,然后 改动 COM 文件 开始 的 三 个 字 节 为 跳 转 指令 ,如 图 4-3 所 示 。 


JMP[ 病 毒 代 码 开 始 地 址 ] 
感染 JMP 病 毒 代码 地 址 
原始 COM 程 序 代码 一 
原始 COM 程 序 代码 


病毒 代码 
图 4-3 COM 文件 的 尾 寄 生 


对 于 DOS 环境 下 的 EXE 文件 ,有 两 种 处 理 的 方法 ,一 种 是 将 EXE 格式 转换 成 COM 
格式 再 进行 感染 ; 另外 一 种 是 修改 EXE 文件 的 文件 头 ,一 般 会 修改 下 面 几 个 部 分 : 

(1) 代码 的 开始 地 址 ; 

(2) 可 执行 文件 的 长 度 ; 

(3) 文件 的 CRC 校 验 值 ; 

(4) 堆栈 寄存 器 的 指针 。 

对 于 Windows 操作 系统 下 的 EXE 文件 ,病毒 感染 后 同样 需要 修改 文件 头 。 这 次 修改 
的 是 PE 或 者 NE 的 头 。 相 对 于 DOS 下 EXE 文件 的 头 来 说 ,这 项 工作 要 复杂 很 多 ,需要 修 
改 程序 入 口 地 址 、 段 的 开始 地 址 、 段 的 属性 等 ,如 图 4-4 所 示 。 由 于 这 项 工作 的 复杂 性 ,很 多 
病毒 在 编写 感染 代码 时 会 包含 一 些小 错误 ,造成 这 些 病 毒 在 感染 文件 时 出 错 ,无 法 继续 ,从 
而 造成 这 些 病毒 无 法 大 规模 地 传播 。 


DOS EXE 文 件 头 DOS EXE 文 件 头 (修改 后 ) 
PE(NE) 文 件 头 PE(NE) 文 件 头 (修改 后 ) 
感染 前 的 程序 感染 前 的 程序 

病毒 代码 


图 4-4 感染 前 后 代码 对 比 


感染 DOS 环境 下 设备 驱动 程序 (SYS 文件 ) 的 病毒 会 在 DOS 启动 之 后 立刻 进入 系统 ， 
而 且 对 于 随后 加 载 的 任何 软件 (包括 杀毒 软件 ) 来 说 ,所 有 的 文件 操作 (包括 可 能 的 查 病毒 和 
杀 病 毒 操作 ) 都 在 病毒 的 监控 之 下 。 在 这 种 情况 下 ,干净 地 清除 病毒 基本 上 是 不 可 能 的 。 


3. 插 人 寄生 


病毒 将 自己 插入 被 感染 的 程序 中 ,可 以 整 段 地 插入 ,也 可 以 分 成 很 多 段 ,有 的 病毒 通过 
压缩 原来 的 代码 的 方法 ,保持 被 感染 文件 的 大 小 不 变 。 对 于 中 间 插 和 来 说 ,前 面 论述 的 更 改 
文件 头等 基本 操作 同样 需要 ,而 且 要 求 程序 的 编写 更 加 严谨 。 所 以 采用 这 种 方式 的 病毒 相 
对 比较 少 , 即 使 采用 了 这 种 方式 ,很 多 病毒 也 由 于 程序 编写 上 的 错误 没有 真正 流行 起 来 。 插 
和 寄生 方式 如 图 4-5 所 示 。 


4. 空洞 利用 


DOS EXE 文 件 头 DOS EXE 文 件 头 (修改 后 ) 
PE(NE) 文 件 头 PE(NE) 文 件 头 (修改 后 ) 
病毒 代码 
感染 前 的 程序 感染 前 的 程序 (经 过 压缩 ) 
病毒 代码 
感染 前 的 程序 (没有 压缩 ) 


图 4-5 插入 寄生 方式 


对 于 Windows 环境 下 的 可 执行 文件 ,空洞 利用 是 很 有 创意 的 方式 。CIH 病毒 使 用 了 


此 方式 ,CIH 病毒 的 空洞 利用 如 图 4-6 所 示 。 


感染 CIH 病 毒 之 前 


DOS 的 MZ 的 文件 头 


感染 CIH 病 毒 之 后 
DOS 的 MZ 的 文件 头 


DOS 的 实 模式 存根 程序 (在 
DOS 下 执行 Windows 程 序 时 
使 用 这 个 存根 程序 ) 


DOS 的 实 模式 存根 程序 (在 
DOS 下 执行 Windows 程 序 时 
使 用 这 个 存根 程序 ) 


PE 文件 标志 (00PE0000) 


PE 文件 标志 (00PE0000) 


PE 文件 头 PE 文件 头 

PE 文件 可 选 头 PE 文件 可 选 头 (被 修改 ) 

text 正文 段 的 头 text 正文 段 的 头 (被 修改 ) 

.bss 堆 栈 段 的 头 .bss 堆 栈 段 的 头 (被 修改 ) 

.data 数 据 段 的 头 .data 数 据 段 的 头 (被 修改 ) 

-rdata 资 源 数据 段 的 头 -rdata 资 源 数据 段 的 头 

… 其 他 段 的 头 … 其 他 段 的 头 

文件 头 上 的 自由 空间 | 病 委 下 链表 指针 区 ____| 
CIH 病 毒 首 块 

下 文 段  _ --_--_---- 正文 是 二 =、 二 

自由 空间 CIH 病 毒 块 2 

堆栈 段 堆栈 段 

自由 空间 CIH 病 毒 块 3 

数据 段  _ _ - - -__- 数据 段 _____  - 

自由 空间 CIH 病 毒 块 4 


图 4-6 CIH 病毒 的 空洞 利用 


计算 机 闹 素 


击 全 沽 


网 络 作 会 基础 


CIH 病毒 的 首 块 程序 是 插 在 PE 文件 头 的 自由 空间 内 的 。 通 常 PE 格式 文件 头 的 大 小 
为 1024 字 节 ,而 MZ(DOS 可 执行 文件 头 ) 为 128 字 节 ,PE 文件 头 ( 包 括 PE 文件 的 标志 ) 为 
24 字 节 ,PE 可 选 文件 头 为 224 字 节 , 以 上 共 376 字 节 。“ 程 序 段 头 ” 区 域 大 小 是 根据 程序 段 
的 数量 来 确定 的 ,但 每 个 程序 段 头 的 大 小 是 固定 的 ,为 40 字 节 。 一 般 情况 下 ,一 个 PE 可 执 
行文 件 有 5 一 6 个 段 , 这 样 计 算 下 来 ,整个 文件 头 有 408 一 448 字 节 的 自由 空间 提供 给 病毒 使 
用 ,剩余 的 病毒 代码 分 块 依次 插入 到 各 段 的 自由 空间 里 。 

寄生 病毒 精准 地 体现 了 病毒 的 定义 ,寄生 在 宿主 程序 上 ,并 且 不 破坏 宿主 程序 的 正常 
功能 ”。 寄 生病 毒 设计 的 初 囊 是 希望 能 够 完整 地 保存 原来 程序 的 所 有 内 容 , 因 此 除了 某 些 由 
F 程 序 设 计 失 误 造 成 原来 的 程序 不 能 恢复 的 病毒 以 外 ,寄生 型 病毒 基本 上 都 是 可 以 安全 清 
除 的 。 


4.3.2 驻 留 技术 


大 部 分 病毒 都 包括 了 内 存 驻 留 的 部 分 , 当 被 感染 的 文件 被 执行 之 后 ,病毒 的 一 部 分 功能 
模块 进入 内 存 , 并 且 一 直 驻 留 在 那里 ,即使 程序 执行 完毕 。 

1. DOS 环境 下 的 内 存 驻 留 

标准 DOS 下 的 终止 及 驻 留 程序 有 两 种 方法 ,一 种 是 通过 CONFIG. SYS 作为 设备 驱动 
加 载 ; 另外 一 种 是 调用 DOS 中 断 INT21H 的 退出 但 仍然 驻 留 功能 。 但 是 病毒 不 是 常规 的 
驻 留 程序 , 它 通常 会 使 用 更 加 巧妙 的 方法 驻 留 内 存 , 图 4-7 所 示 为 一 些 病毒 经 常 隐身 的 
地 方 。 


DOS 系 统 区 
空闲 区 域 


内 存 块 1 
为 病毒 分 配 的 内 存 块 
内 存 块 2 


为 病毒 分 配 一 块 内 存 


内 存 控制 块 


高 端 内 存 区 域 
空闲 区 域 = 一 病毒 代码 


图 4-7 DOS 系统 示意 图 


DOS 环境 下 的 内 存 驻 留 病毒 会 修改 大 量 的 DOS INT21H 功能 ,根据 调用 所 处 理 的 文 
件 后 级 名 或 者 文件 类 型 决定 是 否 进 行 感染 。 内 存 驻 留 病毒 在 装 入 内 存 中 之 后 ,需要 使 用 一 
种 方式 告诉 随后 执行 的 被 感染 文件 ,内 存 中 已 经 加 载 了 病毒 代码 ,不 需要 再 把 病毒 放 到 内 存 
中 了 。 可 由 下 面 两 种 简单 的 方式 达到 这 个 目的 。 


(1) 修改 某 些 中 断 ,增加 一 个 功能 号 ,如 中 断 21H, 增 加 一 个 AX 二 FFFFH 的 调用 ,如 
果 返 回 1, 表 示 病 毒 存在 ,如 病毒 不 存在 ,DOS 会 返回 0。 

(2) 在 一 些 很 少 使 用 的 内 存 区 域 中 ,放置 病毒 存在 的 标志 。 

有 一 些 内 存 驻 留 病毒 ,如 使 用 病毒 制造 库 生成 的 病毒 ,由 于 不 正确 地 使 用 了 防止 病毒 重 
新 加 载 的 算法 ,使 病毒 反复 加 载 , 这 样 会 造成 其 中 的 一 个 内 存 驻 留 病 毒 不 能 正常 工作 。 如 果 
加 载 的 次 数 过 多 ,会 使 系统 内 存 耗 尽 ,造成 死机 。 

2. 引导 区 的 内 存 驻 留 

引导 区 内 存 驻 留 程序 使 用 类 似 的 方法 将 病毒 代码 放 入 系统 内 存 中 ,这 样 会 造成 系统 可 
用 内 存 减 少 。 由 于 引导 病毒 通常 都 比较 小 ,所 以 一 般 减 少 的 内 存 只 有 1KB 或 者 几 KB。 

为 了 避免 用 户 轻易 地 觉察 到 系统 可 用 内 存 的 减少 ,一 些 病毒 会 等 待 DOS 完全 启动 成 
功 , 然 后 使 用 DOS 自己 的 功能 分 配 内 存 。 这 样 不 会 显示 整个 可 用 内 存 减少 ,而 是 在 DOS 可 
用 的 内 存 中 增加 了 一 个 小 的 常 驻 程序 ,往往 不 会 引起 用 户 的 警觉 。 

3. Windows 环境 下 的 内 存 驻 留 

Windows 环境 下 的 病毒 驻 留 技术 是 在 内 存 中 寻找 合适 的 页 面 并 将 病毒 自身 拷贝 到 其 
中 ,而 且 在 系统 运行 期 间 能 够 始终 保持 病毒 代码 的 存在 。 例 如 ,CIH 病毒 调用 INT20 中 断 ， 
使 用 VxD call Page Allocate 系统 调用 ,请 求 系 统 分 配 两 个 PAGE 大 小 的 Windows 系统 内 
存 , 用 于 驻 留 病毒 代码 。 


4.3.3 加 密 变形 技术 


随 着 病毒 技术 的 发 展 , 出 现 了 一 类 新 的 病毒 一 一 加 密 病 毒 。 这 类 病毒 的 特点 是 : 其 
入 口 处 具有 解密 子 ,而 病毒 主体 代码 被 加 密 。 病 毒 运行 时 ,首先 由 得 到 控制 权 的 解密 代 
码 对 病毒 主机 进行 循环 解密 ,完成 后 将 控制 权 交 给 病毒 主机 和 运行。 病毒 主体 感染 文件 
时 ,会 将 解密 子 用 随机 密 钥 加 密 过 的 病毒 主体 ,以 及 保存 在 病毒 体内 或 嵌入 解密 子 中 的 
密 钥 一 同 写 人 被 感染 文件 。 但 是 加 密 病毒 不 同 传染 实例 的 解密 子 仍 然 保持 不 变 的 机 器 
码 明文 ,所 以 应 用 特征 码 查 毒 技术 , 仍 是 一 种 有 效 的 检测 方法 。 由 于 加 密 病 毒 还 没有 能 
够 完全 逃脱 特征 码 扫描 ,所 以 天 才 的 病毒 作者 们 在 加 密 病毒 的 基础 之 上 进行 改进 ,使 解 
密 子 的 代码 对 不 同 传染 实例 呈现 出 多 样 性 ,这 就 出 现 了 加 密 变 形 病毒 。 它 和 加 密 病毒 
非常 相似 ,唯一 的 改进 在 于 病毒 主体 在 感染 不 同文 件 时 会 构造 出 一 个 功能 相同 但 代码 
不 同 的 解密 子 ,也 就 是 不 同 传染 实例 的 解密 子 具有 相同 的 解密 功能 ,但 代码 却 截然 不 
同 。 比 如 ,一 条 指令 完全 可 以 拆 成 几 条 来 完成 ,中 间 可 能 会 被 插入 无 用 的 垃圾 代码 ,以 
及 使 用 随机 的 寄存 器 、 加 密 长 度 等 。 由 于 无 法 找到 不 变 的 特征 码 ,特征 码 扫 描 技术 就 
彻底 失效 了 。 

图 4-8 所 示 为 一 段 最 简单 的 加 密 变 形 病毒 代码 ,这 段 代码 的 作用 是 将 预先 加 密 的 病毒 
代码 解密 ,然后 跳 转 到 执行 感染 和 破坏 功能 的 病毒 代码 中 。 

这 段 解密 的 代码 和 加 密 后 的 病毒 都 是 在 感染 的 时 候 动态 生成 的 。 我 们 可 以 看 到 ,使 用 
的 寄存 器 、 密 钥 、 加 密 代码 的 长 度 等 ,甚至 解密 使 用 的 指令 都 是 随机 的 。 所 以 指望 能 够 从 这 
些 代码 中 找到 固定 的 病毒 特征 码 是 徒劳 的 ,也 就 是 由 于 这 种 加 密 变形 病毒 的 出 现 , 使 利用 简 
单 特征 码 进行 病毒 检测 的 技术 走 到 了 尽头 。 


计算 机 闹 素 


地 上 四 


网 络 安 全 基础 


MOV reg_l,count 其 中 ，reg_1、reg_ 2 和 reg_3 是 从 AX、BX、CX、 
en De DX、SI、DI、BP 中 随机 挑选 的 寄存 器 ， 感 染 不 
| 同 的 文件 ， 解 密 代码 使 用 随机 的 寄存 器 


MOV reg_3,0ffset count 是 加 密 数据 的 长 度 ，key 是 加 密 的 密 钥 ， 
offset 是 加 密 代码 的 偏 移 量 ， 感 染 的 时 候 ， 这 些 
数值 都 是 随机 生成 的 ， 不 同 的 感染 都 不 一 样 


LOOP 


xxx 是 XOR 、ADD 、SUB 等 不 同 运 算 指令 的 通 
xxx byte ptr[reg 3]reg_2 | 一 一 ”| 称 ,使 用 什么 运算 指令 在 感染 的 时 候 随机 选择 


DEC reg 1 


Jxx 是 ja、jnc 等 不 同 条 件 跳 转 指令 的 通称 ， 使 用 
F 乞 跳 转 指 今 是 感染 的 时 候 随 机 选 
Jxx LOOP | 一 一 一 | 什么 跳 转 指令 是 感染 的 时 候 随机 选择 的 


加 密 后 的 病毒 代码 
图 4-8 加 密 变形 病毒 代码 


4.3.4 隐藏 技术 


病毒 在 进入 用 户 系统 之 后 ,会 采取 种 种 方法 隐藏 自己 的 行踪 ,让 用 户 无 法 感觉 到 它 的 存 
在 。 引 导 型 病毒 .文件 型 病毒 以 及 Windows 环境 下 的 病毒 采用 了 不 同 的 技术 达到 这 个 
目的 。 

1. 引导 型 病毒 的 隐藏 技术 

引导 型 病毒 的 隐藏 有 以 下 两 种 基本 的 方法 。 

(1) 改变 基本 输入 输出 系统 (BIOS) 中 断 13H 的 入 口 地 址 ,使 其 指向 病毒 代码 之 后 ,发 
现 调用 INT13H 被 感染 扇 区 请 求 的 时 候 ,将 原来 没有 被 感染 过 的 内 容 返 回 给 调用 的 程序 。 
因此 ,任何 DOS 程序 都 无 法 觉察 到 病毒 的 存在 ,如 果 反 病毒 软件 无 法 首先 将 内 存 中 的 病毒 
清除 的 话 ,同样 无 法 清除 这 种 病毒 。 此 种 隐藏 技术 详 见 图 4-9 所 示 。 


读 届 区 调用 [DOS 应 用 程序 | _ pos 下 的 杀毒 软件 


病毒 感染 后 的 INT 13H 服 务 程序 


Ed 本 


和 、 


Pt 、 
BD 读 请 求 a 
读 请 求 、、、 


被 病毒 感染 的 扁 区 、 | 原来 的 INT 13H 服 务 程序 


返回 数据 返回 数据 
被 病毒 感染 的 扇 区 的 原始 户 区 普通 房 区 


图 4-9 引导 型 病毒 的 隐藏 技术 示意 图 


(2) 另外 一 种 更 高 明 的 方法 是 直接 针对 杀毒 软件 的 。 为 了 对 付 上 面 所 说 的 病毒 隐藏 手 
段 ,一 些 杀毒 软件 采用 直接 对 磁盘 控制 器 进行 操作 的 方法 读 写 磁 盘 扇 区 。 病 毒 的 制造 者 在 
加 载 程序 的 时 候 制 造假 象 , 当 启动 任何 程序 的 时 候 , 修 改 DOS 执行 程序 的 中 断 功 能 。 首 先 


把 被 病毒 感染 的 扇 区 恢复 原样 ,这 样 即 使 反 病 毒 程序 采用 直接 磁盘 访问 也 只 能 看 到 正常 的 
磁盘 扇 区 , 当 程 序 执行 完成 后 ,再 重新 感染 , 详 见 图 4-10 所 示 。 对 付 这 种 病毒 的 唯一 方法 是 
在 进行 病毒 检测 之 前 首先 清除 内 存 中 的 所 有 病毒 。 


| DOS 命 令 解释 程序 COMMAND.COMD) | 
用 户 输入 AV.EXE 执 行 反 病 毒 程序 | 
感染 后 的 INT 21 功 能 40H( 加 载 一 个 程序 执行 ) 
让 


1 恢复 被 病毒 感染 的 扇 区 为 原来 的 内 容 


原来 的 INT 21H 功 能 
天 


1 重新 感染 扇 区 
1 


1 
| 返回 DOs 命令 解释 程序 (COMMAND.COM) | 


图 4-10 引导 型 病毒 感染 过 程 


引导 型 病毒 为 了 隐藏 自己 ,经 常 采用 更 改 活动 引导 记录 ,使 病毒 代码 看 起 来 类 似 于 正常 
启动 代码 等 方法 , 尽 可 能 减少 被 杀毒 软件 发 现 的 可 能 性 。 

2. 文件 型 病毒 的 隐藏 技术 

文件 型 病毒 的 隐藏 技术 和 引导 型 病毒 的 隐藏 技术 相似 ,同样 是 蔡 换 DOS 或 者 基本 输入 
输出 系统 的 文件 系统 相关 调用 。 在 打开 文件 时 将 文件 的 内 容 恢复 至 未 感染 的 状态 ,在 关闭 
文件 时 重新 进行 感染 。 

由 于 访问 文件 型 病毒 的 方式 非常 多 ,所 以 实现 完全 的 文件 型 病毒 隐藏 是 一 件 非 常 困难 
的 任务 ,一 个 完整 的 隐藏 技术 应 该 包括 以 下 几 个 方面 的 处 理 ,如 图 4-11 所 示 。 


INT 13H( 直 接 也 盘 访问) 隐 基 请 毒 让 区 
列 目 录 荔 能。 上 上 -| 列 目 录 叶 显 示 感 前 的 文件 大 小 
谈 写 功能 。 上 | -| 该 写 文件 看 到 正常 的 文件 内 容 
WE 上 直 | 
行 引 时 隐藏 病 
ET 
齐全 全 信和 全 四， 这 这 发 作 在 支持 长 文件 名 的 系统 隐藏 自身 


图 4-11 文件 型 病毒 的 隐藏 技术 


一 般 的 文件 型 病毒 仅仅 使 用 其 中 的 一 部 分 隐藏 技 术 。 最 常见 的 是 对 列 目录 进行 隐藏， 
因此 ,在 使 用 DIR 命令 列 目录 的 时 候 , 看 到 的 文件 大 小 是 病毒 提供 的 ,从 实际 大 小 减 去 病毒 
大 小 的 数值 ,这 样 就 不 会 感觉 到 病毒 的 存在 。 


计算 机 六 要 


地 上 加 


网 络 作 会 基础 


3. Windows 环境 下 的 病毒 隐藏 技术 

在 Windows 系统 中 ,有 一 定 经 验 的 用 户 觉 察 系 统 异 常 后 ,常常 使 用 管理 器 进程 列表 来 
观察 是 否 有 异常 进程 的 存在 。 若 存在 , 则 会 采取 一 定 的 防范 措施 。 因 此 ,实现 进程 或 模块 隐 
藏 应 该 是 一 个 成 功 病毒 所 必须 具备 的 特征 。 在 Windows 9x 下 ,Kernel32. dll 有 一 个 可 以 使 
进程 从 管理 器 进程 列表 中 消失 的 导出 函数 RegisterServiceProcess, 但 它 仍 不 能 使 病毒 逃离 
一 些 进程 浏览 工具 的 监视 。 当 病毒 编写 者 知道 这 些 工 具 是 如 何 来 枚 举 进程 后 ,就 能 找到 对 
付 这 些 工具 的 相应 方法 。 


4.4 计算 机 病毒 的 检测 与 防范 


由 于 计算 机 病毒 具有 相当 的 复杂 性 和 行为 不 确定 性 ,计算 机 病毒 的 检测 与 防范 需要 多 
种 技术 综合 应 用 。 


4.4.1 计算 机 病毒 的 检测 


对 系统 进行 检测 ,可 以 及 时 掌握 系统 是 否 感染 病毒 ,以 及 被 感染 的 情况 ,以 便于 及 时 对 
症 处 理 。 检 测 病 毒 的 方法 有 : 特征 代码 法 , 校 验 和 法 ,行为 监测 法 、 软 件 模 拟 法 。 

1. 特征 代码 法 

特征 代码 法 是 检测 已 知 病毒 最 简单 .最 经 济 的 方法 。 特 征 代码 法 的 实现 步骤 如 下 。 

(1) 采集 已 知 病毒 样本 ,病毒 如 果 既 感染 COM 文件 ,又 感染 EXE 文件 ,对 这 种 病毒 要 
同时 采集 COM 型 病毒 样本 和 EXE 型 病毒 样本 。 

(2) 在 病毒 样本 中 ,抽取 特征 代码 。 

(3) 打开 被 检测 文件 ,在 文件 中 搜索 ,检查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 代 
码 , 如 果 发 现 病毒 特征 代码 ,由 于 特征 代码 与 病毒 一 一 对 应 , 便 可 以 断定 出 被 查 文件 中 感染 
的 是 何 种 病毒 。 

特征 代码 法 的 特点 是 : 速度 慢 , 随 着 病毒 种 类 的 增多 ,检测 时 间 变 长 ; 误 报 率 低 ; 不 能 
检查 多 态 型 病毒 ; 不 能 检测 隐藏 型 病毒 。 

2. 校 验 和 法 

校 验 和 法 指 在 使 用 文件 前 或 定期 地 检查 文件 内 容 前 后 的 校 验 和 变化 ,以 此 来 判断 文件 
是 否 被 感染 的 一 种 方法 。 

运用 校 验 和 法 检测 病毒 采用 以 下 三 种 方式 。 

(1) 在 检测 病毒 工具 中 纳入 校 验 和 法 ,对 被 检测 的 对 象 文件 计算 其 正常 状态 的 校 验 和 ， 
将 校 验 和 值 写 入 被 查 文件 的 检测 工具 中 ,而 后 进行 比较 。 

(2) 在 应 用 程序 中 , 放 入 校 验 和 法 自我 检查 功能 ,将 文件 正常 状态 的 校 验 和 写 入 文件 自 
身 中 ,每 当 应 用 程序 启动 时 ,比较 现行 校 验 和 与 原 校 验 和 值 , 实 现 应 用 程序 的 自 检测 。 

(3) 将 校 验 和 检测 程序 常 驻 内 存 ,每 当 应 用 程序 开始 运行 时 ,自动 比较 检测 应 用 程序 内 
部 或 别 的 文件 中 预先 保存 的 校 验 和 。 

校 验 和 法 的 特点 是 : 方法 简单 ,能 发 现 未 知 病毒 .被 检测 文件 的 细微 变化 ; 可 以 报警 ; 
不 能 识别 病毒 名 称 ; 不 能 检测 隐藏 型 病毒 。 


3. 行为 监测 法 

行为 监测 法 是 利用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 。 通 过 对 病毒 多 年 的 观察 和 
研究 ,有 一 些 行为 是 病毒 的 共同 行为 ,而 且 比 较 特 殊 。 在 正常 程序 中 ,这 些 行为 比较 罕见 , 当 
程序 运行 时 ,监视 其 行为 ,如 果 发 现 了 病毒 行为 ,立即 报警 。 

行为 监测 法 的 特点 是 : 可 发 现 未 知 病毒 ; 可 相当 准确 地 预报 未 知 的 多 数 病 毒 ; 可 能 误 
报警 ; 不 能 识别 病毒 名 称 ; 实现 时 有 一 定 难度 。 

4. 软件 模拟 法 

软件 模拟 法 是 一 种 软件 分 析 器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 。 新 型 检测 工具 
纳入 了 软件 模拟 法 ,该 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 ,如 果 发 现 疑 似 隐藏 型 
病毒 或 多 态 型 病毒 时 ,启动 软件 模拟 模块 ,监视 病毒 的 运行 , 待 病毒 自身 的 密码 译 码 以 后 ,再 
运用 特征 代码 法 来 识别 病毒 的 种 类 。 


4.4.2 计算 机 病毒 的 防范 


由 于 在 计算 机 病毒 的 处 理 过 程 中 ,存在 对 症 下 药 的 问题 , 即 只 能 是 发 现 一 种 病毒 以 后 ， 
才 可 以 找到 相应 的 治疗 方法 ,因此 处 理 病毒 具有 很 大 的 被 动 性 。 而 防范 计算 机 病毒 , 则 可 掌 
握 工 作 的 主动 权 , 所 以 应 把 工作 重点 放 在 计算 机 病毒 的 预防 上 。 防 范 计算 机 病毒 主要 从 管 
理 和 技术 两 方面 着 手 。 

1. 严格 的 管理 

制定 相应 的 管理 制度 ,避免 蓄意 制造 ,传播 病毒 的 事件 发 生 。 例 如 ,对 接触 重要 计算 机 
系统 的 人 员 进 行 选择 和 审查 ; 对 系统 的 工作 人 员 和 资源 进行 访问 权限 划分 ; 对 外 来 人 员 上 
机 或 外 来 磁盘 的 使 用 严格 限制 ,特别 是 不 准 用 外 来 系统 盘 启 动 系统 ; 规定 下 载 的 文件 要 经 
过 严格 检查 ,其 至 规定 下 载 文 件 、 接 收 E-mail 等 需要 使 用 专门 的 终端 和 账号 ; 接收 到 的 程 
序 要 严格 限制 执行 等 。 

2. 有 效 的 技术 

除 管理 方面 的 措施 外 ,采取 有 效 的 技术 措施 防止 计算 机 病毒 的 感染 和 草 延 也 是 十 分 重 
要 的 。 计 算 机 病毒 预防 是 指 在 病毒 尚未 入 侵 或 刚刚 入 侵 时 ,就 拦截 .阻止 病毒 的 人 侵 或 立即 
报警 。 目 前 在 预防 病毒 工具 中 采用 的 技术 主要 有 如 下 6 种。 

(1) 将 大 量 的 杀毒 软件 汇集 一 体 ,检查 是 否 存在 已 知 病毒 。 

(2) 检测 一 些 病毒 经 常 要 改变 的 系统 信息 ,如 引导 区 .中断 向 量 表 、 可 用 内 存 空间 等 ,以 
确定 是 否 存 在 病毒 的 行为 。 

(3) 监测 写 盘 操 作 , 对 引导 区 或 主 引 导 区 的 写 操 作 报 警 。 

(4) 对 计算 机 系统 中 的 文件 形成 一 个 密码 校 验 码 和 实现 对 程序 完整 性 的 验证 ,在 程序 
执行 前 或 定期 对 程序 进行 密码 校 验 , 如 有 不 匹配 现象 立即 报警 。 

(5) 智能 判断 ,设计 病毒 行为 过 程 判 定 知识 库 , 应 用 人 工 智能 技术 ,有 效 区 分 正常 程序 
与 病毒 程序 的 行为 ,是 否 误 报警 取决 于 知识 库 选 取 的 合理 性 。 

(6) 智能 监测 ,设计 病毒 特征 库 , 病 毒 行为 知识 库 , 受 保护 程序 存 取 行为 知识 库 等 多 个 
知识 库 及 相应 的 可 变 推理 机 。 通 过 调整 推理 机 ,能 够 对 付 新 类 型 病毒 ,这 也 是 未 来 预防 病毒 
技术 发 展 的 方向 。 
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头 麻 生 
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DOS 环 境 下 的 内 存 驻 留 


寄生 技术 
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特征 代码 法 
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软件 模拟 法 


一 、 填空 题 


1. 计算 机 病毒 结构 一 般 由 ( 

2 ) 技 术 是 文件 型 病毒 最 常用 的 传染 方法 。 

3. 病毒 寄生 技术 可 以 分 为 头 寄生 、` 尾 寄生 、 插 入 寄生 和 ( 
4 ) 是 检测 已 知 病毒 的 最 简单 、 最 经 济 的 方法 。 
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计算 机 病毒 


按 破坏 性 分 类 


防范 
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严格 的 管理 
有 效 的 技术 


非 授权 可 执行 性 

隐藏 性 

传染 性 

谱 伏 性 

破坏 性 (表现 性 ) 

可 触发 性 

编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 坡 
坏 数据 ， 影 响 计 算 机 使 用 并 且 能 够 自我 复制 的 一 组 计 
算 机 指令 或 者 程序 代码 


坡 坏 数据 

占用 磁盘 空间 

抢占 系统 资源 
影响 计算 机 运行 速度 
病毒 错误 导致 危害 

病毒 的 兼容 性 影响 系统 运行 
病毒 给 用 户 造成 严重 的 心理 压力 


Trojan 木马 病毒 
Worm 蜡 虫 病毒 

Marco 宏 病毒 

BackDoor 后 门 病毒 

Script 脚本 病毒 
Win32、PE、W32 系 统 病毒 
Binner 捆 绑 机 病毒 

Joke 玩 笑 病毒 

病毒 名 一 一 病毒 的 名 称 

后 级 一 病毒 的 变种 特征 


前 组 -一 病毒 的 类 型 


) ,传播 模块 和 表现 模块 三 部 分 构成 。 


5. 计算 机 病毒 采用 前 后 级 法 命名 ,病毒 前 缀 表示 ( 


级 表示 病毒 的 变种 特征 。 
二 、 选 择 题 


1. 在 计算 机 病毒 发 展 过 程 中 ,( 


有 具有 了 自我 保护 的 功能 。 
A. 多 态 性 病毒 阶段 
C. 混合 型 病毒 阶段 


)4 种 。 


) ,病毒 名 表示 病毒 名 称 , 病 毒 后 


) 给 计算 机 病毒 带 来 了 第 一 次 流行 高 峰 ,同时 病毒 


B. 网 络 病毒 阶段 
D. 主动 攻击 型 病毒 阶段 


2. 


3. 


蠕虫 病毒 是 最 常见 的 病毒 ,有 其 特定 的 传染 机 理 , 它 的 传染 机 理 是 (  )。 

A. 利用 网 络 进行 复制 和 传播 B. 利用 网 络 进行 攻击 

C. 利用 网 络 进行 后 门 监视 D. 利用 网 络 进行 信息 窃取 

( ””) 是 一 种 更 具 破 坏 力 的 恶意 代码 ,能够 感染 多 种 计算 机 系统 ,其 传播 之 快 、 影 响 


范围 之 广 、 破 坏 力 之 强 都 是 空前 的 。 


4. 


A. 特洛伊 木马 B. CIH 病毒 
C.CoDeReDI 双 型 病毒 D. 蠕虫 病毒 
按照 计算 机 病毒 的 链接 方式 不 同 分 类 ,( ) 是 将 其 自身 包围 在 合法 的 主 程序 的 四 


周 , 对 原来 的 程序 不 做 修改 。 


Cn 


6. 


A. 源码 型 病毒 B. 外 过 型 病毒 
C. 能 入 式 病 毒 D. 操作 系统 型 病毒 
. 下 面 属于 蠕虫 病毒 的 是 (。”)。 
A. Worm. Sasser 病毒 B. Trojan. QQPSW 病毒 
C. Backdoor. IRCBot 病毒 D. Macro. Melissa 病毒 


杀毒 软件 报告 发 现 病毒 Macro. Melissa, 由 该 病毒 名 称 可 以 推断 出 病毒 类 型 是 ( 5 


这 类 病毒 的 主要 感染 目标 是 (  )。 


本 


8. 


所 


10. 


Ll 


12. 


A. 文件 型 B. 引导 型 C. 目标 型 D. 宏 病 毒 
E. EXE 或 COM 可 执行 文件 F. Word 或 Excel 文件 

G. DLL 系统 文件 H. 磁盘 引导 区 

计算 机 病毒 通常 是 指 ( Ne 

A. 一 段 程序 B. 一 条 命令 C. 一 个 文件 D. 一 个 标记 
文件 型 病毒 传染 的 对 象 主要 是 以 下 ( ) 文 件 类 型 。 

A. DBF B. WPS 

C. COM 和 EXE D. EXE 和 DOC 

计算 机 病毒 具有 ( 让 

A. 传播 性 ,潜伏 性 、 破 坏 性 B. 传播 性 、 破 坏 性 、 易 读 性 

C. 潜伏 性 破坏 性 、 易 读 性 D. 传播 性 、 潜 伏 性 、 安 全 性 


目前 使 用 的 防 杀 病毒 软件 的 作用 是 ( 

A. 检查 计算 机 是 否 感染 病毒 ,并 消除 已 感染 的 任何 病毒 

B. 杜绝 病毒 对 计算 机 的 侵害 

C. 检查 计算 机 是 否 感染 病毒 .并 清除 部 分 已 感染 的 病毒 

D. 查 出 已 感染 的 任何 病毒 ,清除 部 分 已 感染 的 病毒 

在 计算 机 病毒 检测 手段 中 ,下 面 关于 特征 代码 法 的 表述 ,错误 的 是 ( hs 
A. 随 着 病毒 种 类 增多 ,检测 时 间 变 长 B. 可 以 识别 病毒 名 称 

C. 误 报 率 低 D. 可 以 检测 出 多 态 型 病毒 
下 面 关于 计算 机 病毒 的 说 法 中 ,错误 的 是 ( ) 。 

A. 计算 机 病毒 只 存在 于 文件 中 

B. 计算 机 病毒 具有 传染 性 

C. 计算 机 病毒 能 自我 复制 


地 上 回 


计算 机 闹 要 


网 络 安 全 基础 


15. 


16. 


My; 


18. 


1 和 


D. 计算 机 病毒 是 一 种 人 为 编制 的 程序 


. 以 下 方法 中 ,不 适用 于 检测 计算 机 病毒 的 是 ( he 


A. 特征 代码 法 B. 校 验 和 法 C. 加 密 法 D. 软件 模拟 法 
. 下 列 不 属于 行为 检测 法 检测 病毒 的 行为 特征 的 是 ( i 

A. 占有 INT 13H B. 修改 DOS 系统 内 存 总 量 

C. 病毒 程序 与 宿主 程序 的 切换 D. 不 使 用 INT 13H 

下 列 计算 机 病毒 检测 手段 中 ,主要 用 于 检测 已 知 病毒 的 是 ( », 

A. 特征 代码 法 B. 校 验 和 法 C. 行为 检测 法 D. 软件 模拟 法 

计算 机 病毒 检测 手段 中 , 校 验 和 法 的 优点 是 ( % 

A. 不 会 误 报 B. 能 识别 病毒 名 称 

C. 能 检测 出 隐蔽 性 病毒 D. 能 发 现 未 知 病毒 


关于 特征 代码 法 ,下 列 说 法 错误 的 是 (  )。 

A. 采用 特征 代码 法 检测 准确 

B. 采用 特征 代码 法 可 识别 病毒 的 名 称 

C. 采用 特征 代码 法 误 报 率 高 

D. 采用 特征 代码 法 能 根据 检测 结果 进行 解毒 处 理 

对 于 采用 校 验 和 法 检测 病毒 的 技术 ,下 列 说 法 正确 的 是 ( 各 
A. 可 以 识别 病毒 类 型 B. 可 以 识别 病毒 名 称 
C. 常常 误 警 D. 误 警 率 低 

以 下 描述 的 现象 中 ,不 属于 计算 机 病毒 的 是 ( hs 

A. 破坏 计算 机 的 程序 或 数据 

B. 使 网 络 阻塞 

C. 各 种 网 上 欺骗 行为 

D， Windows“ 控 制 面板 ”中 无 “本 地 ”连接 图 标 


、 判断 题 
. 按照 病毒 的 传播 媒介 分 类 ,计算 机 病毒 可 分 为 单机 病毒 和 网 络 病 毒 。 
. 防范 计算 机 病毒 主要 从 管理 和 技术 两 方面 着 手 。 


计算 机 病毒 只 会 破坏 计算 机 的 操作 系统 ,而 对 其 他 网 络 设备 不 起 作用 。 


. 计算 机 病毒 不 影响 计算 机 的 运行 速度 和 运算 结果 。 
. 蠕虫 既 可 以 在 互联 网 上 传播 ,也 可 以 在 局 域 网 上 传播 ,而 且 由 于 局 域 网 本 身 的 特性 ， 


蠕虫 在 局 域 网 上 传播 速度 更 快 , 危 害 更 大 。 
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、 简 答题 

. 什么 是 计算 机 病毒 ? 

. 计算 机 病毒 的 组 织 结构 有 哪些 ? 

. 计算 机 病毒 的 特征 有 哪些 ? 

. 按 计算 机 病毒 的 命名 规则 ,解释 说 明 病毒 troj. generic. apc 的 各 字段 的 含义 。 
. 给 出 计算 机 病毒 的 4 种 检测 方法 。 


第 5 章 身份 认证 与 访问 控制 技术 


【本 章 学 习 目标 】 

。 理解 身份 认证 的 概念 

。 了解 常用 身份 认证 方式 

理解 访问 控制 的 概念 

”掌握 自主 访问 控制 .强制 访问 控制 及 基于 角色 的 访问 控制 模式 
。 了 解数 字 签 名 的 概念 

。 掌握 数字 签名 原理 

。 掌 握 原文 加 密 的 数字 签名 实现 方法 


在 当前 开放 式 的 网 络 环境 中 ,任何 在 网 络 上 的 通信 都 可 能 遭 到 黑客 的 攻击 ,窃听 机 密 消 
息 ,伪造 ,复制 .删除 和 修改 消息 等 攻击 越 来 越 多 。 所 有 的 攻击 都 可 能 对 正常 通信 造成 破坏 
性 的 影响 ,给 在 线 电 子 交 易 和 网 银 的 安全 性 带 来 极 大 的 挑战 。 各 种 层出不穷 的 计算 机 犯罪 
案件 引发 了 人 们 对 网 络 身份 的 信任 危机 ,证 明 访 问 用 户 身份 及 防止 身份 被 肯 名 顶替 变 得 极 
为 重要 。 身 份 认 证 技术 和 访问 控制 技术 是 网 络 安全 的 最 基本 要 素 , 是 用 户 登 录 网 络 时 保证 
其 使 用 和 交易 “门户 ”安全 的 首要 条 件 。 


5.1 身份 认证 技术 


S.1.1 身份 认证 概述 


1. 身份 认证 概念 

认证 (Authentication) 是 指 通过 对 网 络 系统 使 用 过 程 中 的 主客 体 双方 互相 鉴别 确认 身 
份 后 ,对 其 赋予 恰当 的 标志 ,标签 和 证 书 等 的 过 程 。 认 证 可 以 解决 主体 本 身 的 信用 问题 和 客 
体 对 主体 访问 的 信任 问题 。 认 证 可 以 为 下 一 步 的 授权 奠定 基础 ,是 对 用 户 身 份 和 认证 信息 
的 生存 ,存储 ,同步 、 验 证 和 维护 的 全 生命 周期 的 管理 。 

身份 认证 (Identity and Authentication Management) 是 网 络 用 户 在 进入 系统 或 访问 不 
同 保护 级 别 的 系统 资源 时 ,系统 确认 该 用 户 的 身份 是 否 真实 ,合法 和 唯一 的 过 程 。 

2. 身份 认证 作用 

在 网 络 系统 中 ,身体 认证 是 网 络 安全 中 的 第 一 道 防线 ,极为 重要 ,是 其 他 安全 机 制 的 基 
石 。 如 图 5-1 所 示 ,用 户 在 访问 系统 前 , 先 要 经 过 身份 认证 系统 进行 身份 识别 ,可 以 通过 访 
问 监控 设备 (系统 ) ,根据 用 户 的 身份 和 授权 数据 库 ,确定 所 访问 系统 资源 的 权限 。 授 权 数据 


库 由 安全 管理 员 按照 需要 配置 。 审 计 系 统 根据 设置 记载 用 户 的 请 求 和 行为 。 访 问 控制 和 审 
计 系 统 都 依赖 于 身份 认证 系统 提供 的 “认证 信息 ”鉴别 和 审计 。 
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图 5-1 身份 认证 和 访问 控制 过 程 


5.1.2 身份 认证 方式 


网 络 系统 中 常用 的 身份 认证 方式 主要 有 静态 密码 认证 、 动 态 口 令 认 证 ,USB Key 认证 、 
生物 识别 认证 和 CA 认证 等 。 

1. 静态 密码 认证 

静态 密码 方式 是 指 以 用 户 名 及 密码 认证 的 方式 ,是 最 简单 .应 用 最 广泛 的 身份 认证 方 
法 。 所 有 用 户 的 密码 由 用 户 自己 设 定 ,只 有 用 户 本 人 知道 。 只 要 能 够 正确 输入 密码 ,信息 系 
统 就 认为 操作 者 是 合法 用 户 , 其 安全 性 在 很 大 程度 上 依赖 于 密码 强度 。 实 际 上 ,很 多 用 户 为 
了 方便 起 见 ,经常 使 用 生日 、 电 话 号 码 等 具有 用 户 自身 特征 的 字符 串 作为 密码 ,为 系统 安全 
留 下 隐患 。 同 时 ,由 于 密码 是 静态 数据 ,在 验证 过 程 中 需要 在 网 络 介质 中 传输 ,很 容易 被 木 
马 程序 或 监听 设备 截获 。 因 此 ,用 户 名 及 密码 方式 是 安全 性 比较 低 的 身份 认证 方式 。 

2. 动态 口令 认证 

动态 口令 是 应 用 较 广 的 一 种 身份 认证 方法 ,采用 哈 希 算法 产生 。 基 于 动态 口令 的 认证 
方式 主要 有 动态 短信 密码 和 动态 口令 牌 两 种 方式 。 口 令 一 次 一 密 ,每 次 登录 都 用 不 同 的 密 
码 , 可 以 避免 口令 丢失 的 逻辑 漏洞 。 前 者 是 将 系统 发 给 用 户 注册 手机 的 动态 短信 密码 进行 
身份 认证 ,后 者 则 以 发 给 用 户 动态 口令 牌 进行 认证 ,如 图 5-2 所 示 。 动 态 口令 认证 方式 不 需 
要 用 户 定期 修改 密码 ,无 须 担 心 密码 泄露 ,该 认证 方式 广泛 应 用 在 VPN、 网 上 银行 及 电子 商 

3. USB Key 认证 

USB Key(U 盾 ) 认 证 方式 近 几 年 得 到 了 广泛 应 用 。 它 主要 采用 软 硬 件 相 结合 .一 次 一 
密 的 强 双 因 素 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 该 方式 以 一 种 USB 接 
口 的 硬件 设备 ,内 置 单片机 或 智能 卡 芯片 ,可 存储 用 户 的 密 钥 或 数字 证 书 , 利 用 其 内 置 的 密 
码 算法 实现 对 用 户 身份 的 认证 。 其 身份 认证 系统 主要 有 两 种 认证 模式 : 基于 冲击 /响应 模 
式 和 基于 PKI 体系 的 认证 模式 。 常 用 的 网 银 USB Key 如 图 5-3 所 示 。 


图 5-3 网 银 USB Key 


4. 生物 识别 认证 

生物 识别 认证 是 指 通过 可 测量 的 生物 信息 和 行为 等 特征 进行 身份 认证 的 一 种 技术 。 认 证 
系统 测量 的 生物 特征 一 般 是 用 户 唯 一 生理 特征 或 行为 方式 。 生 物 特 征 分 为 身体 特征 和 行为 特 
征 两 类 。 身 体 特征 包括 指纹 、 掌 形 , 视 网 腊 和 DNA 等 ; 行为 特征 包括 签名 ,语音 和 行走 步 态 等 。 

5. CA 认证 

CA(Certification Authority) 是 国际 认证 机 构 的 通称 ,是 对 申请 用 户 进行 发 放 、 管 理 、 校 
验 或 取消 数字 证 书 的 机 构 。CA 认证 用 于 审查 证 书 持 有 者 身份 的 合法 性 ,并 签发 管理 证 书 ， 
以 防止 证 书 被 伪造 或 算 改 。 如 表 5-1 所 示 , 其 发 放 、 管 理 和 认证 是 一 个 复杂 的 过 程 , 即 CA 
认证 过 程 。 

表 5-1 证 书 的 类 型 与 作用 


证 书 名 称 证 书 类 型 主要 功能 描述 

个 人 证 书 个 人 证 书 个 人 网 上 交易 、 网 上 支付 .电子 邮件 等 
单位 身份 证 书 用 于 企 事业 单位 网 上 交易 、 网 上 支付 等 

单位 证 书 E-mail 证 书 用 于 企 事业 单位 内 安全 电子 邮件 通信 
部 门 证 书 用 于 企 事业 单位 内 某 个 部 门 的 身份 认证 

服务 器 证 书 企业 证 书 用 于 服务 器 、 安 全 站 点 认证 等 

Ee 个 人 证 书 用 于 个 人 软件 开发 者 对 其 软件 的 签名 

Nn 企业 证 书 用 于 软件 开发 企业 对 其 软件 的 签名 


CA 作为 网 络 安全 可 信 认 证 及 证 书 管理 机 构 , 其 主要 职能 是 管理 和 维护 所 签发 的 证 书 ， 
并 提供 各 种 证 书 服务 ,包括 证 书 的 签发 .更 新 、 回 收 和 归档 等 。CA 系统 的 主要 功能 是 管理 
其 辖 域内 的 用 户 证 书 ,因此 ,CA 系统 功能 及 CA 证 书 的 应 用 将 围绕 证 书 进行 具体 的 管理 。 


5.1.3 身份 认证 系统 


身份 认证 系统 的 组 成 一 般 包括 三 个 部 分 : 认证 服务 器 .认证 系统 客户 端 和 认证 设备 。 
认证 系统 主要 通过 身份 认证 协议 和 认证 系统 软 硬 件 来 实现 。 其 中 ,身份 认证 协议 又 分 为 单 
向 认证 协议 和 双向 认证 协议 。 若 通信 双方 只 需 一 方 鉴 别 另 一 方 的 身份 , 则 称 为 单项 认证 协 
议 ; 如 果 双 方 都 需要 验证 身份 , 则 称 为 双向 认证 协议 。 

AAA(Authentication, Authorization, Accounting) 认 证 系统 现 阶段 应 用 最 为 广泛 。 甚 
中 ,认证 (Authentication) 是 验证 用 户 身 份 与 可 使 用 网 络 服务 的 过 程 ,授权 (Authorization) 是 依 
据 认 证 结果 开放 网 络 服务 给 用 户 的 过 程 ,审计 (Accounting) 是 记录 用 户 对 各 种 网 络 操作 及 
服务 的 用 量 并 进行 计 费 的 过 程 。 
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5.1.4 身份 认证 方法 


在 网 络 系统 中 ,各 用 户 以 数字 认证 方式 确定 身份 。 网 络 中 的 各 种 资源 通过 认证 机 制 来 
实现 安全 保护 。 认 证 机 制 与 授权 机 制 经 常 结合 在 一 起 ,通过 认证 的 用 户 才 可 获得 使 用 权限 。 
互联 网 最 常用 的 认证 方法 有 固定 口令 一 次 性 口令 、 双 因素 安全 令 牌 和 单 点 登录 等 。 

1. 固定 口令 

固定 口令 认证 是 网 络 中 最 常用 的 认证 系统 ,是 一 种 以 检验 用 户 设 定 的 固定 字符 串 来 进 
行 系统 认证 的 方式 。 当 通过 网 络 访问 系统 资源 时 ,系统 要 求 输入 用 户 名 和 密码 。 在 账户 和 
密码 被 确认 后 ,用 户 便 可 访问 授权 的 资源 。 这 种 认证 方式 简单 ,但 由 于 其 相对 固定 ,很 容易 
受到 多 种 攻击 。 而 且 很 多 认证 系统 的 口令 是 未 经 加 密 的 明文 ,攻击 者 通过 窃听 网 络 数据 ,很 
容易 分 辨 出 某 种 特定 系统 的 认证 数据 ,并 提取 出 用 户 名 和 密码 。 

2. 一 次 性 口令 

为 了 提高 固定 口令 的 安全 性 ,出 现 了 一 次 性 口令 (One Time Password,OTP) 认 证 体 
制 , 即 在 登录 过 程 中 加 入 不 确定 因素 ,使 每 次 登录 过 程 中 传送 的 信息 都 不 相同 ,从 而 提高 系 
统 安全 性 。 一 次 性 口令 认证 系统 的 组 成 如 下 。 

(1) 生成 不 确定 因子 。 常 用 的 生成 不 确定 因子 的 方式 有 三 种 : 口令 序列 方式 .挑战 / 回 
答 方式 和 时 间 同 步 方 式 。 

(2) 生成 一 次 性 口令 。 利 用 不 确定 因子 生成 一 次 性 口令 的 方式 有 以 下 两 种 。 

J@ 硬件 卡 。 在 具有 计算 功能 的 硬件 卡 上 输入 不 确定 因子 , 卡 中 集成 的 计算 逻辑 对 输入 
数据 进行 处 理 , 并 将 结果 反馈 给 用 户 作为 一 次 性 口令 。 基 于 硬件 卡 的 一 次 性 口令 大 多 属于 
挑战 /回答 方式 ,一般 配备 有 数字 按键 ,便于 不 确定 因子 的 输入 。 

@ 软件 。 与 硬件 卡 基本 原理 类 似 ,以 软件 代替 其 计算 逻辑 。 软 件 口令 生成 方式 及 灵活 
性 较 高 , 某 些 软件 还 可 限定 用 户 登 录 的 地 点 。 

3. 双 因 素 安全 令 牌 

双 因 素 身 份 认证 系统 由 身份 认证 服务 器 .安全 令 牌 .认证 代理 .认证 应 用 开发 包 等 几 部 
分 组 成 。 身 份 认 证 服务 器 提供 数据 存储 `.AAA 服务 .管理 等 功能 ,是 整个 系统 的 核心 部 分 。 
安全 令 牌 是 重要 的 双 因素 认证 方式 ,系统 提供 多 种 形式 的 安全 令 牌 , 供 不 同 用 户 选 用 。 

双 因 素 安全 令 牌 用 于 生成 用 户 当 前 登录 的 动态 口令 ,采用 加 密 算法 及 可 靠 设 计 , 可 防止 
读 取 密码 信息 。 该 令 牌 每 60s 得 到 一 个 新 动态 口令 显示 在 液晶 屏 上 ,动态 口令 具有 极 高 的 
抗 攻 击 性 。 

4. 单 点 登录 

单 点 登录 (Single Sign On,SSO) 也 称 单 次 登录 ,是 在 多 个 应 用 系统 中 ,用 户 只 需要 登录 
一 次 就 可 以 访问 所 有 相互 信任 的 应 用 系统 ,安全 凭证 可 以 在 不 同 的 应 用 系统 中 共享 ,是 目前 
比较 流行 的 企业 业务 整合 的 解决 方案 之 一 。 其 中 ,对 网 络 服务 器 认证 由 专门 的 认证 服务 器 
负责 ,并 且 统 一 对 登录 用 户 授权 。 

单 点 登录 与 传统 的 登录 相 比 较 , 优 势 主 要 体现 在 以 下 5 个 方面 。 

(1) 管理 简单 。 现 有 的 操作 系统 实现 中 ,SSO 的 相关 任务 可 以 作为 日 常 维护 工作 的 一 
部 分 ,使 用 与 其 他 任务 管理 相同 的 工具 来 执行 。 

(2) 管理 控制 便捷 。Windows 中 所 有 的 网 络 管理 信息 ,包括 SSO 的 特定 信息 ,都 存放 


在 一 个 用 Active Directory 组 织 的 存储 库 中 。 对 每 个 用 户 的 权限 与 特权 , 仅 有 一 个 授权 列 
表 , 使 管理 员 在 更 改 或 维护 用 户 特 权 后 ,可 将 结果 传送 到 整个 网 络 系统 。 

(3) 用 户 使 用 简便 。 用 户 不 用 多 次 登录 ,也 无 须 在 访问 网 络 资源 时 记 住 很 多 密码 。 

(4) 安全 性 更 高 。SSO 可 用 的 方法 都 提供 用 户 身份 验证 ,并 为 用 户 与 网 络 资源 的 会 话 
加 密 黄 定 了 基础 。 它 不 仅 取消 了 多 次 访问 密码 ,还 降低 了 用 户 习惯 写 或 多 次 输入 密码 而 被 
盗用 密码 的 危险 。 此 外 ,由 于 将 网 络 管理 信息 并 人 存储 库 ,管理 员 还 可 确认 所 禁用 的 用 户 账 
号 ,从 而 使 网 络 系统 的 安全 性 更 高 。 

(5) 合并 异 构 网 络 。 通 过 连接 各 种 网 络 ,相关 的 网 络 管理 工作 也 可 以 进行 合并 ,从 而 优 
化 了 管理 ,实现 整个 系统 安全 策略 统一 实施 。 


5.2 访问 控制 技术 


如 果 说 身份 证 认证 技术 解决 了 用 户 是 “ 谁 ”的 问题 ,那么 用 户 “能 够 做 什么 ” 则 是 由 访问 
控制 决定 的 。 访 问 控 制 技术 作为 国际 标准 化 组 织 定 义 的 5 项 标准 安全 服务 之 一 ,是 实现 信 
息 系统 安全 的 一 项 重要 机 制 。 美 国 国防 部 的 可 信 计 算 机 系统 评估 标准 把 访问 控制 作为 评价 
系统 安全 的 主要 指标 之 一 ,因此 ,访问 控制 对 提高 系统 安全 的 重要 性 是 不 言 而 喻 的 。 


5.2.1 访问 控制 概述 


1. 访问 控制 概念 

访问 控制 (Access Control) 指 系统 对 用 户 身份 及 其 所 属 的 预先 定义 的 策略 组 限制 其 使 
用 数据 资源 的 能 力 ,通常 用 于 系统 管理 员 控制 用 户 对 服务 器 .目录 文件 等 网 络 资源 的 访问 。 

访问 控制 的 主要 目的 是 限制 访问 主体 对 客体 的 访问 ,从 而 保障 数据 资源 在 合法 范围 内 
得 以 有 效 使 用 和 管理 。 访 问 控制 包括 以 下 三 个 要 素 。 

(1) 主体 SCSubject) 。 指 一 个 提出 请 求 或 要 求 的 实体 ,是 动作 的 发 起 者 ,但 不 一 定 是 动 
作 的 执行 者 。 主 体 可 以 是 某 个 用 户 ,也 可 以 是 用 户 启动 的 进程 .服务 和 设备 。 

(2) 客体 O(Object)。 是 授 受 其 他 实体 访问 的 被 动 实体 。 客 体 的 概念 也 很 广泛 ,凡是 
可 以 被 操作 的 信息 资源、 对 象 都 可 以 认为 是 客体 。 在 信息 社会 中 ,客体 可 以 是 信息 、 文 件 、 
记录 等 的 集合 体 , 也 可 以 是 网 络 的 硬件 设施 ,无 线 通 信 中 的 终端 ,甚至 一 个 客体 可 以 包含 另 
一 个 客体 。 

(3) 控制 策略 A(Attribution)。 是 主体 对 客体 的 访问 规则 集 , 即 属性 集合 。 访 问 策略 
实际 上 体现 了 一 种 授权 行为 ,也 就 是 客户 对 主体 的 权限 允许 。 

2. 访问 控制 作用 

访问 控制 的 主要 作用 是 ,保证 合法 用 户 访 问 受权 保护 的 网 络 资源 ,防止 非法 的 主体 进入 
受 保护 的 网 络 资源 ,并 防止 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 。 

访问 控制 组 件 包括 了 4 个 部 分 : 发 起 者 (initiator) 、 访 问 控 制 执行 功能 (Access Control 
Enforcement Function, AEF) ,访问 控制 决策 功能 (Access Control Decision ,ADF) 以 及 目标 
(target)。 如 图 5-4 所 示 , 发 起 者 是 指 信息 系统 中 系统 资源 的 使 用 者 ,是 访问 控制 系统 中 的 
主体 。 目 标 是 指 被 发 起 者 访问 或 试图 访问 的 基于 计算 机 或 通信 的 实体 ,是 访问 控制 系统 中 
的 客体 。AEF 的 功能 是 负责 建立 起 发 起 者 与 目标 之 间 的 通信 桥梁 , 它 必须 按照 ADF 的 授权 
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查询 指示 来 实施 上 述 动作 。 即 当 发 起 者 对 目标 提出 执行 操作 要 求 时 ,AEF 会 将 这 个 请 求 信息 
通知 ADF ,并 由 ADF 作出 是 否 允 许 访问 的 判断 。 在 信息 系统 中 ,ADF 是 访问 控制 的 核心 。 当 
ADF 对 发 起 者 提出 的 访问 请 求 进行 判断 时 ,所 依据 的 是 一 套 访 问 控制 策略 和 上 下 文 信息 。 


请 求 访问 访问 控制 执行 请 求 
发 起 者 执行 功能 
(AEF) 
主体 客体 


ee 访问 控制 
主体 访问 . 客体 访问 
控制 信息 信和 他 控制 信息 


访问 控制 策略 | | 上 下 文 信息 
图 5-4 访问 控制 作用 


3. 访问 控制 模式 

主要 的 访问 控制 模式 有 三 种 , 即 自 主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 。 

(1) 自主 访问 控制 (Discretionary Access Control,DAC)。 指 资源 的 所 有 者 决定 是 否 允 
许 特定 的 人 访问 资源 ,类 似 于 目前 大 多 数 企业 系统 管理 采取 的 做 法 。 这 种 访问 控制 模式 的 
有 效 性 依赖 于 资源 的 所 有 者 对 企业 安全 政策 的 正确 理解 和 有 效 落 实 。 

(2) 强制 访问 控制 (Mandatory Access Control, MAC)。 指 定义 几 个 特定 的 信息 安全 级 
别 ,将 资源 归属 于 这 些 安全 级 别 中 。 主 体 的 权限 取决 于 其 访问 许可 等 级 。 

(3) 基于 角色 的 访问 控制 (Role-Based Access Control, RBAC)。 指 主体 基于 特定 的 角 
色 访 问 客体 ,操作 权限 定义 在 角色 当中 。 


5.2.2 自主 访问 控制 


自主 访问 控制 最 早出 现在 20 世纪 70 年 代 初期 的 分 时 系统 中 , 它 是 多 用 户 环境 下 最 常 
用 的 一 种 访问 控制 技术 ,也 是 目前 计算 机 系统 中 实现 最 多 的 访问 控制 机 制 。 在 自主 访问 控 
制 的 机 制 下 ,客体 的 拥有 者 全 权 管理 有 关 该 客体 的 访问 授权 ,有 权 汇 露 修 改 该 客体 的 有 关 
信息 。 也 就 是 说 ,允许 某 个 主体 显 式 地 指定 其 他 主体 对 该 主体 所 拥有 的 信息 资源 是 否 可 以 
访问 以 及 可 执行 的 访问 类 型 。 因 此 自主 访问 控制 又 被 称 为 基于 拥有 者 的 访问 控制 。 

自主 访问 控制 一 般 采 用 访问 控制 矩阵 .访问 控制 列表 和 访问 控制 能 力 列表 三 种 机 制 来 
存放 不 同 主体 的 访问 控制 权限 ,从 而 完成 对 主体 访问 权限 的 限制 。 

实现 自主 访问 控制 最 直接 的 方法 是 利用 访问 控制 矩阵 。 访 问 控制 矩阵 的 每 一 行 表 示 一 
个 主体 ,每 一 列表 示 一 个 受 保护 的 客体 ,矩阵 中 的 元 素 表示 主体 可 对 客体 进行 的 访问 模式 
(例如 读 、 写 ,执行 ,修改 、 删 除 等 )。 

表 5-2 是 一 个 自主 访问 控制 矩阵 的 示例 , 表 中 的 John、Alice、Bob 是 三 个 主体 ,客体 有 4 个 
文件 和 两 个 账户 。 需 要 指出 的 是 .Own 的 确切 含义 可 能 因 不 同 的 系统 而 异 ,通常 一 个 文件 
的 Own 权限 可 以 授予 或 者 撤销 其 他 用 户 对 该 文件 的 访问 控制 权限 。 例 如 John 拥有 文件 1 
的 Own 权限 ,他 就 可 以 授予 Alice 读 或 者 Bob 读 、 写 的 权限 :也 可 以 撤销 赋 给 他 们 的 权限 。 


表 5-2 访问 控制 矩阵 示例 


文件 1 文件 2 文件 3 文件 4 账户 1 账户 2 
Ow Ow ee 
John R R So 
Credit 
W Ww 
Own E . ii 
Alice R R Ww R nd ee 
Debit Credit 
W 
Ge 人 
Bob R R 
Ww Debit 
WwW 


访问 控制 矩阵 虽然 直观 ,但 是 我 们 可 以 发 现 并 不 是 每 个 主体 和 客体 之 间 都 存在 着 权限 
关系 。 相 反 , 实 际 的 系统 中 虽然 可 能 有 很 多 的 主体 和 客体 ,但 主体 和 客体 之 间 的 权限 关系 可 
能 并 不 多 ,这 样 就 存在 着 很 多 的 空白 项 。 因 此 在 实现 自主 访问 控制 时 ,因为 将 矩阵 整体 地 保 
存 起 来 效率 会 很 低 , 所 以 通常 不 这 么 做 。 实 际 的 方法 是 基于 和 矩阵 的 行 (主体 ) 或 列 ( 客 体 ) 来 


表示 访 


问 控制 信息 。 


1. 基于 行 的 自主 访问 控制 
基于 行 的 自主 访问 控制 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 列表 。 根 据 
列表 的 内 容 不 同 ,又 有 不 同 的 实现 方式 。 主 要 利用 能 力 表 (capability list) ,前 级 表 (profiles 


list) 和 
可 以 对 
问 客体 

如 


John 一 一 一 | 


口令 (password) 来 实现 。 其 中 最 常用 的 方法 是 利用 能 力 表 实 现 。 能 力 决定 用 户 是 否 
客体 进行 访问 以 及 进行 何 种 模式 的 访问 ,拥有 相应 能 力 的 主体 可 以 以 给 定 的 模式 访 


图 5-5 所 示 ,在 访问 控制 能 力 表 中 ,由 于 它 着 眼 于 某 一 主体 的 访问 权限 ,以 主体 为 出 


Alice 一 一 一 | 


Bob 一 一 | 


文人 1 5 
Own Own 
R R 
W W 
文件 1 文件 2 文件 3 文件 4 
Own 
R R » R 
Ww 
[CXF ] [文件 2 ] LXff4 ] 
R Own 
WwW R R 
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图 5-5 访问 控制 能 力 表 示意 图 
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发 点 描述 控制 信息 ,因此 很 容易 获得 一 个 被 主体 授权 可 以 访问 的 客体 及 其 权限 ,但 是 如 果 要 
求 获得 对 于 某 一 特定 权限 的 所 有 主体 会 比较 困难 。 而 且 当 一 个 客体 被 删除 之 后 ,系统 必须 
在 每 个 客户 的 表 上 清除 该 客体 相应 的 条 目 。 

2. 基于 列 的 自主 访问 控制 

在 基于 列 的 自主 访问 控制 中 ,每 个 客体 都 附加 一 个 可 访问 它 的 主体 明细 表 。 基 于 列 的 
自主 访问 控制 最 常用 的 实现 方式 是 访问 控制 列表 。 

访问 控制 列表 (Access Control List, ACL) 是 实现 基于 列 的 自主 访问 控制 采用 最 多 的 一 
种 方式 。 它 可 以 对 某 一 特定 资源 指定 任意 一 个 用 户 的 访问 权限 ,还 可 以 将 有 相同 权限 的 用 
户 分 组 ,并 授予 组 的 访问 权 。 图 5-6 所 示 为 访问 控制 列表 的 示例 。 


John | Alice Bob 
Own R 
文 作 1 一， 下 R WwW 
Ww 
Alice LBob 
O 
文件 一 | RR" R 
Ww 
John [LAlice 
文 作 3 一 | 和 w 
Ww 
Alice LBob 
Ee. Own 
文件 4 一 一 一 | R R 
Ww 


图 5-6 访问 控制 列表 示意 图 


ACL 的 优点 在 于 表述 直观 ,易于 理解 ,而 且 比 较 容易 查 出 对 某 一 特定 资源 拥有 访问 权 
限 的 所 有 用 户 , 可 以 有 效 地 实施 授权 管理 。 在 一 些 实际 应 用 中 ,还 对 ACL 做 了 扩展 ,从 而 
进一步 控制 用 户 的 合法 访问 时 间 ,决定 是 否 需要 审计 等 。 

尽管 ACL 灵活 方便 ,但 将 它 应 用 到 网 络 规模 较 大 、 需 求 复杂 的 企业 内 部 网 络 时 ,ACL 
需 对 每 个 资源 指定 可 以 访问 的 用 户 或 组 以 及 相应 的 权限 。 当 网 络 中 资源 很 多 时 ,需要 在 
ACL 中 设 定 大 量 的 表 项 。 当 用 户 的 职位 、 职 责 发 生变 化 时 ,为 反映 这 些 变化 ,管理 员 需 要 修 
改 用 户 对 所 有 资源 的 访问 权限 。 另 外 ,在 许多 组 织 中 ,服务 器 一 般 是 彼此 独立 的 ,各 自 设置 
自己 的 ACL。 为 了 实现 整个 组 织 范 围 内 的 一 致 的 控制 策略 ,需要 各 管理 部 门 的 密切 合作 。 
所 有 这 些 使 得 访问 控制 的 授权 管理 变 得 费力 而 烦琐 , 且 容 易 出 错 。 


上 述 两 种 自主 访问 控制 方法 都 存在 一 些 局 限 性 ,主要 体现 在 : 资源 管理 比较 分 散 ; 用 
户 间 的 关系 不 能 在 系统 中 体现 出 来 ,不 易 管理 ; 信息 容易 泄露 ,无 法 抵御 特洛伊 木马 的 攻 
击 。 在 自主 访问 控制 下 ,一 旦 带 有 特洛伊 木马 的 应 用 程序 被 激活 ,特洛伊 木马 可 以 任意 泄露 
和 破坏 接触 到 的 信息 ,甚至 改变 这 些 信息 的 访问 控制 模式 。 

在 自主 访问 控制 系统 中 ,一 个 拥有 一 定 访问 权限 的 主体 可 以 直接 或 间接 地 将 权限 传 给 
其 他 主体 。 管 理 员 难以 确定 哪些 用 户 对 哪些 资源 有 访问 权限 ,不 利于 实现 统一 的 全 局 访问 
控制 。 另 外 ,在 许多 组 织 中 ,用 户 对 自己 所 能 访问 的 资源 并 不 具有 所 有 权 , 组 织 本 身 才 是 系 
统 中 资源 的 真正 所 有 者 。 各 组 织 一 般 希 望 访问 控制 与 授权 机 制 的 实现 结果 能 与 组 织 内 部 的 
规章 制度 相 一 致 ,并 且 由 管理 部 门 统一 实施 访问 控制 ,不 允许 用 户 自主 地 处 理 ,显然 ,自主 访 
问 控 制 已 不 能 适应 这 些 需 求 。 


5.2.3 强制 访问 控制 


顾名思义 ,强制 访问 控制 是 “强加 ”给 访问 主体 的 , 即 系统 强制 主体 服从 访问 控制 策略 。 

强制 访问 控制 的 基本 思想 是 : 每 个 主体 都 有 既定 的 安全 属性 ,每 个 客体 也 都 有 既定 安 
全 属性 ,主体 对 客体 是 否 能 执行 特定 的 操作 ,取决 于 二 者 安全 属性 之 间 的 关系 。 这 些 安全 属 
性 是 不 能 改变 的 , 它 是 由 管理 部 门 (如 安全 管理 员 ) 自 动 地 按照 严格 的 规则 来 设置 ,不 像 访 问 
控制 列表 那样 可 以 由 用 户 直 接 或 间接 地 修改 。 当 主体 对 客体 进行 访问 时 ,根据 主体 的 安全 
属性 和 访问 方式 ,比较 主体 的 安全 属性 和 客体 的 安全 属性 ,从 而 决定 是 否 允 许 主体 的 访问 请 
求 。 主 体 不 能 改变 自身 的 或 任何 客体 的 安全 属性 ,包括 不 能 改变 属于 用 户 的 客体 的 安全 属 
性 ,而 且 主体 也 不 能 将 自己 拥有 的 访问 权限 授予 其 他 主体 。 

强制 访问 控制 和 自主 访问 控制 是 两 种 不 同类 型 的 访问 控制 机 制 , 它 们 常 结合 起 来 使 用 。 
仅 当 主体 能 够 同时 通过 自主 访问 控制 和 强制 访问 控制 检查 时 , 它 才 能 访问 一 个 客体 。 利 用 
自主 访问 控制 ,用 户 可 以 有 效 地 保护 自己 的 资源 ,防止 其 他 用 户 的 非法 获取 ; 而 利用 强制 访 
问 控制 可 提供 更 强 有 力 的 安全 保护 ,使 用 户 不 能 通过 意外 事件 和 有 意识 的 误 操 作 逃 避 安 全 控 
制 。 强 制 访问 控制 特别 适用 于 多 层次 安全 级 别 的 军事 应 用 ,也 适用 于 政府 部 门 ` 金 融 部 门 等 。 

安全 级 由 以 下 两 方面 的 内 容 构成 。 

(1) 保密 级 别 : 又 叫 敏感 级 别 , 可 以 分 为 绝密 级 .机密 级、 秘密 级 ,无 密级 等 。 

(2) 范畴 集 : 指 在 组 织 系统 中 ,根据 人 员 的 不 同 职能 所 划分 的 不 同 领域 。 如 人 事 处 、 财 

安全 级 包括 一 个 保密 级 别 和 任意 多 个 范畴 。 安 全 级 通常 写成 保密 级 别 后 跟随 一 个 范畴 
集 的 形式 ,如 { 机 密 : 人事 处 ,财务 处 } ; 范畴 集 可 以 为 空 。 

在 安全 级 中 保密 级 别 是 线性 排列 的 ,例如 ,无 密 一 秘密 二 机 密 二 绝密; 范畴 集 则 是 互相 
独立 和 无 序 的 ,两 个 范畴 集 之 间 的 关系 是 包含 、 被 包含 或 无 关 。 

强制 访问 控制 最 主要 的 优势 在 于 它 有 阻止 特洛伊 木马 的 能 力 。 特 洛 伊 木马 是 在 执行 某 
些 合法 功能 的 程序 中 隐藏 的 代码 , 它 利用 运行 此 程序 的 主体 的 权限 违反 安全 策略 ,通过 伪装 
成 有 用 的 程序 在 进程 中 泄露 信息 。 

阻止 特洛伊 木马 的 策略 是 基于 非 循环 信息 流 , 所 以 在 一 个 级 别 上 读 信 息 的 主体 一 定 不 
能 在 另 一 个 违反 非 循环 规则 的 安全 级 别 上 写 信息 。 所 谓 上 读 , 指 的 是 低级 别 的 用 户 能 够 读 
高 敏感 度 区 域 ,下 读 指 低级 别 用 户 只 能 读 更 低级 别 的 敏感 信息 ,不 能 读 高 级 别 敏 感 信息 。 所 
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谓 上 写 , 指 的 是 不 允许 高 敏感 的 信息 写 入 低 敏感 区 域 ,下 写 则 允许 高 敏感 度 的 信息 写 入 低 敏 
感 区 域 。 一 般 用 上 读 /下 写 来 保证 数据 完整 性 及 利用 下 读 / 上 写 来 保证 数据 的 机 密 性 ,同样 ， 
在 一 个 安全 级 别 上 写 信息 的 主体 也 一 定 不 能 在 另 一 个 违反 非 循环 规则 的 安全 级 别 上 读 信 
息 。 由 于 强制 访问 控制 策略 是 通过 梯度 安全 标签 实现 信息 的 单 向 流通 ,所 以 它 可 以 很 好 地 
阻止 特洛伊 木马 的 泄密 。 

强制 访问 控制 的 主要 缺陷 在 于 实现 工作 量 太 大 ,不 够 灵活 。 而 且 强 制 访问 控制 过 于 偏 
重 保密 性 ,对 其 他 方面 如 系统 连续 工作 能 力 .授权 的 可 管理 性 等 考虑 不 足 。 


5.2.4 基于 角色 的 访问 控制 


随 着 网 络 技术 的 发 展 ,网 络 应 用 系统 所 面临 的 一 个 难题 就 是 如 何 对 日 益 复 杂 的 数据 资 
源 进行 安全 管理 。 传 统 的 访问 控制 技术 都 是 由 主体 和 访问 权限 直接 发 生 关系 ,在 实际 应 用 中 ， 
当主 体 和 客体 的 数目 都 非常 大 时 ,传统 访问 控制 技术 已 远 远 不 能 胜任 复杂 的 授权 管理 的 要 求 。 

目前 ,大 部 分 信息 资源 服务 器 对 信息 没有 进行 统一 管理 ,特别 是 没有 根据 信息 的 安全 要 
求 来 进行 管理 。 有 些 资 源 服务 器 虽然 采取 了 一 些 诸如 身份 认证 ,访问 控制 等 安全 策略 ,但 由 
于 管理 的 力度 太 弱 ,无 法 做 到 对 资源 的 全 面 控制 。 还 有 些 资源 服务 器 根据 信息 的 秘密 程度 
分 为 未 知 普通、 秘密、 机 密 、 绝 密 5 级 ,然后 给 用 户 赋予 访问 权限 ,这 种 方式 在 一 定 程度 上 能 
解决 信息 的 非 授 权 访问 问题 ,但 这 种 方式 往往 会 出 现 为 用 户 分 配 的 权限 比 它 实 际 应 该 具有 的 
权限 要 大 的 情况 , 即 没 有 实现 最 小 特权 机 制 。 这 些 问 题 都 给 信息 资源 的 安全 留 下 了 重大 隐患 。 

近年 来 ,为 了 满足 新 的 安全 需求 ,各 国学 者 对 访问 控制 技术 进行 了 大 量 研究 。 一 方面 ， 
对 传统 访问 控制 技术 的 不 足 进行 改进 ; 另 一 方面 ,研究 新 的 访问 控制 技术 以 适应 当前 计算 
机 信息 系统 的 安全 需求 ,从 而 产生 了 一 些 更 为 灵活 的 访问 控制 技术 。 其 中 ,基于 角色 的 访问 
控制 的 应 用 最 为 广泛 。RBAC 的 概念 早 在 20 世纪 90 年 代 就 已 经 提出 ,但 在 相当 长 的 一 段 
时 间 内 没有 得 到 人 们 的 重视 。 进 入 20 世纪 90 年 代 , 安 全 需求 的 发 展 使 得 RBAC 又 引起 人 
们 极 大 的 关注 。 目 前 美国 的 很 多 学 者 和 研究 机 构 都 在 从 事 这 方面 的 研究 ,NISTCNational 
Institute of Standard Technology) 的 研究 人 员 认 为 RBAC 将 成 为 DAC 和 MAC 的 替代 者 。 

RBAC 的 核心 思想 是 将 访问 权限 与 角色 相 联系 ,通过 给 用 户 分 配合 适 的 角色 ,让 用 户 与 
访问 权限 相关 联 。 角 色 是 根据 企业 内 为 完成 各 种 不 同 的 任务 需要 而 设置 的 ,根据 用 户 在 企 
业 中 的 职权 和 责任 来 设 定 他 们 的 角色 。 用 户 可 以 在 角色 间 进 行 转换 ,系统 可 以 添加 、 删 除 角 
色 , 还 可 以 对 角色 的 权限 进行 添加 、 删除 。 通 过 应 用 RBAC, 可 以 将 安全 性 放 在 一 个 接近 组 
织 结构 的 自然 层面 上 进行 管理 。 因 此 ,在 RBAC 中 ,可 以 根据 组 织 结构 中 不 同 的 职能 岗位 
划分 角色 ,资源 访问 权限 被 封装 在 角色 中 ,用 户 通过 赋予 的 角色 间接 地 访问 系统 资源 ,并 可 
对 系统 资源 进行 许可 范围 内 的 操作 。 

如 图 5-7 所 示 ,RBAC 包含 三 个 实体 : 用 户 (user) .角色 (role) 和 权限 (privilege) 。 

用 户 是 对 数据 对 象 进行 操作 的 主体 ,可 以 是 人 或 计算 机 等 。 权 限 表示 对 系统 中 客体 进行 
特定 模式 访问 的 操作 许可 , 即 对 某 一 数据 对 象 的 可 操作 权利 。 对 数据 库 系统 而 言 ,数据 对 象 可 
以 是 表 , 视 图 ,字段 ,记录 ,相应 的 操作 有 读 \ 插 入 、 删 除 和 修改 等 。 一 项 许可 就 是 可 以 对 某 一 个 数 
据 对 象 进行 某 一 种 特定 操作 的 权利 。 

在 RBAC 中 ,角色 对 应 于 组 织 中 某 一 特定 的 职能 岗位 ,具有 处 理 某 些 事物 的 许可 。 这 
与 实际 生活 中 的 角色 很 相似 ,以 学 校 为 例 ,角色 可 以 是 校长 .处 长 . 科 长 .教师 ,学 生 等 ,不 过 


在 RBAC 中 的 角色 与 实际 的 角色 概念 有 所 不 同 。 在 一 个 RBAC 模型 中 ,一 个 用 户 可 以 被 赋 
予 多 个 角色 ,一 个 角色 也 可 以 对 应 多 个 用 户 ,这 些 角色 是 根据 系统 的 具体 实现 来 定义 的 。 同 
样 的 一 个 角色 可 以 拥有 多 个 权限 ,一 个 权限 也 可 以 被 多 个 用 户 所 拥有 。 这 样 在 权限 管理 中 ， 
角色 作为 中 间 桥 梁 把 用 户 和 权限 联系 起 来 ,一 个 角色 与 若干 个 权限 关联 可 以 看 作 是 该 角色 
拥有 的 一 组 权限 集合 ,与 用 户 关联 也 可 以 看 作 是 若干 具有 相同 身份 的 用 户 集合 。 


i 


图 5-7 用 户 、 角 色 和 权限 的 关系 图 


会 话 是 一 个 动态 的 概念 ,一 次 会 话 是 用 户 的 一 个 活跃 进程 ,代表 用 户 与 系统 进行 的 一 次 
交互 。 用 户 与 会 话 是 一 对 多 关系 ,一 个 用 户 可 同时 打开 多 个 会 话 。 在 RBAC 中 ,在 用 户 和 
访问 权限 之 间 引 入 角色 的 概念 。 用 户 与 特定 的 一 个 或 多 个 角色 相 联 系 ,角色 与 一 个 或 多 个 
权限 相 联 系 , 角 色 可 以 根据 实际 的 工作 需要 生成 或 取消 ,而 且 登 录 到 系统 中 的 用 户 可 根据 自 
己 的 需要 动态 激活 自己 拥有 的 角色 ,从 而 避免 用 户 无 意 中 和 危害 系统 安全 。 除 此 之 外 ,角色 之 
间 、 权 限 之 间 、 角 色 和 权限 之 间 定 义 了 一 些 关系 ,如 角色 间 的 层次 性 关系 ,而 且 也 可 以 按 需 要 
定义 各 种 约束 ,如 定义 出 纳 和 会 计 这 两 个 角色 为 互 斥 角色 ( 即 这 两 个 不 能 分 配给 一 个 用 户 )。 

从 图 5-7 中 ,我 们 不 难 理解 角色 之 间 有 重生 ,如 果 将 重 释 部 分 设置 为 一 个 角色 R, 其 他 
角色 既 包含 该 角色 R 也 包含 自己 的 私有 部 分 ,这 样 就 产生 了 角色 层次 。 例 如 ,处 长 的 权限 
包括 了 他 所 主管 的 各 科 长 的 权限 , 科 长 的 权限 包括 了 其 属 下 各 科 员 的 权限 。 

约束 是 施加 于 单个 角色 之 上 或 多 个 角色 之 间 的 ,用 来 表达 权限 的 执行 是 有 条 件 的 。 最 
常见 的 约束 有 基数 约束 即 可 被 赋予 某 特定 角色 的 用 户 数目 的 约束 ; 或 者 是 用 户 分 配 阶段 有 
些 权限 不 能 同时 被 同一 个 用 户 获得 的 静态 责任 互 斥 。 

用 户 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹 配 ,这 正 是 RBAC 的 根本 特征 。 即 依 
据 RABC 策略 ,系统 定义 了 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 。 不 同 的 用 户 根据 其 
职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角色 的 成 员 , 则 此 用 户 可 以 完成 该 角色 
所 具有 的 职能 。 

角色 由 系统 管理 员 定义 ,角色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管理 
员 有 权 定 义 和 分 配角 色 。 用 户 与 客体 之 间 无 直接 联系 ,他 只 有 通过 角色 才能 享有 该 角色 所 
对 应 的 权限 ,从 而 访问 相应 的 客体 ,因此 用 户 不 能 自主 地 将 访问 权限 授予 别 的 用 户 ,这 是 
RBAC 与 DAC 的 根本 区 别 所 在 。RBAC 与 MAC 的 区 别 在 于 , MAC 是 基于 多 级 安全 需求 
的 ,而 RBAC 不 是 ,因为 军用 系统 中 主要 关心 的 是 防止 信息 从 高 安全 级 流向 低 安全 级 ,重点 
考虑 的 是 信息 的 机 密 性 ,而 基于 角色 控制 的 系统 中 主要 关心 的 是 保护 信息 的 完整 性 。 
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综 上 所 述 ,RBAC 具有 以 下 特点 。 

(1) 以 角色 作为 访问 控制 的 主体 。 用 户 以 什么 样 的 角色 对 资源 进行 访问 ,决定 了 用 户 
拥有 的 权限 以 及 可 执行 何 种 操作 。RBAC 的 基本 思想 是 : 授权 给 用 户 的 访问 权限 通常 由 用 
户 在 一 个 组 织 中 担当 的 角色 来 确定 。 传 统 的 访问 控制 是 将 主体 和 受 控 客体 直接 相 联系 ,而 
RBAC 在 主体 与 客体 之 间 加 入 了 角色 ,通过 角色 沟通 主体 与 客体 。 这 样 分 层 的 优点 是 当主 
体 发 生变 化 时 ,只 需 修改 主体 与 角色 之 间 的 关联 ,而 不 必修 改 角色 与 客体 的 关联 。 

(2) 角色 继承 。RBAC 中 利用 角色 之 间 的 层次 关系 提高 授权 效率 ,避免 相同 权限 的 重 
复 设 置 。RBAC 采用 了 ”角色 继承 ”的 概念 ,角色 继承 是 指 角色 不 仅 具有 直接 为 其 分 配 的 权 
限 ,还 可 以 继承 其 他 角色 的 权限 。 角 色 继 承 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 
员 之 间 的 职权 、 责 任 关 系 。 

角色 继承 可 以 用 父子 关系 来 表示 。 如 图 5-8 所 示 , 角 色 2 是 角色 1 的 “父亲 ”, 它 包含 角 
色 1 的 属性 与 权限 。 在 角色 继承 关系 图 中 ,处 于 最 上 面 的 角色 拥有 最 大 的 访问 权限 , 越 下 端 
的 角色 拥有 的 权限 越 小 。 

(3) 最 小 特权 原则 。 所 谓 最 小 特权 原则 (least privilege 
policy) 是 : 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 
的 权限 。 实 现 最 小 特权 原则 , 需 分 清 用 户 的 工作 内 容 , 确 
定 执行 该 项 工作 的 最 小 权限 ,然后 将 用 户 限制 在 这 些 权限 
范围 之 内 。 在 RBAC 中 ,可 以 根据 组 织 内 的 规章 制度 、 职 
员 的 分 工 等 设计 拥有 不 同 权 限 的 角色 ,只 有 角色 需要 执行 
的 操作 才 授 予 给 角色 。 当 一 个 主体 准备 访问 资源 时 ,如 果 
该 操作 不 在 主体 当前 活跃 角色 的 授权 操作 之 内 ,该 访问 将 
图 58 角色 的 继承 关系 示意 图 ”被 拒绝 ,由 此 体现 了 最 小 特权 原则 。 


5.3 数字 签名 技术 


5.3.1 数字 签名 概述 


在 实际 网 络 通 信 中 ,用 户 可 能 受到 来 自 多 方面 的 攻击 。 在 现实 环境 中 ,可 以 通过 当面 交 
易 的 方式 或 者 通过 手写 签名 盖 章 的 方式 来 解决 通信 双方 的 欺骗 和 抵赖 行为 。 但 在 网 络 环境 
中 ,每 个 人 都 是 虚拟 的 ,如 何 能 够 实现 同 现实 中 手写 签名 类 似 的 功能 ? 这 就 是 数字 签名 要 解 
决 的 问题 ,在 了 解数 字 签 名 概念 之 前 , 先 看 下 面 的 例子 。 

用 户 A 与 也 相互 之 间 要 进行 通信 ,双方 拥有 共享 的 会 话 密 钥 K, 在 通信 过 程 中 可 能 会 
遇 到 以 下 问题 : 

人 A 伪造 一 条 信息 ,并 称 该 消息 来 自 于 B。A 只 需要 产生 一 条 伪造 的 消息 ,用 A 和 B 的 
共享 密 钥 通过 哈 希 算法 产生 认证 码 ,并 将 认证 码 附 于 消息 之 后 。 由 于 哈 希 算法 的 单 向 性 和 
密 钥 K 是 共享 的 ,因此 无 法 证 明 该 消息 是 A 伪造 的 。 

也 可 以 否认 曾经 发 送 过 某 条 消息 。 因 为 任何 人 都 有 办 法 伪造 消息 ,所 以 无 法 证 明 B 是 
否 发 送 过 该 消息 。 

上 述 例子 说 明 使 用 哈 希 算法 可 以 进行 报 文 鉴别 ,但 无 法 阻止 通信 用 户 的 欺骗 和 抵赖 行 


为 。 因 此 , 当 通 信 双 方 不 能 相互 信任 的 情况 下 ,需要 用 除了 报 文 鉴 别 以 外 的 技术 来 防止 类 似 
的 抵赖 和 欺骗 行为 。 

1. 数字 签名 概念 

数字 签名 (Digital Signature) 指 用 户 用 私 钥 对 原始 数据 加 密 所 得 的 特殊 数字 串 , 用 于 保证 
信息 来 源 的 真实 性 ,数据 传输 的 完整 性 和 防 抵赖 性 。 数 字 签 名 在 电子 银行 .证券 和 电子 商务 等 
方面 应 用 非常 广泛 ,如 汇款 ,转账 ,订货 票据、 股票 成 交 等 。 用 户 以 电子 邮件 等 方式 ,使 用 个 人 
私有 密 钥 加 密 数据 或 选项 后 ,发 送 给 接收 者 。 接 收 者 用 发 送 者 的 公 钥 解 开 数据 后 ,就 可 确定 数 
据 源 。 数 字 签 名 同时 也 是 对 发 送 者 发 送信 息 真 实 性 的 证 明 ,发 送 者 对 所 发 送 的 信息 不 可 抵赖 。 

2. 数字 签名 功能 

(1) 签名 是 可 信 的 。 文 件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签名 的 。 

(2) 签名 是 不 可 抵赖 的 。 发 送 者 事后 不 能 抵赖 对 报 文 的 签名 ,可 以 核实 。 

(3) 签名 不 可 伪造 。 可 以 证 明 是 签字 者 而 不 是 其 他 人 在 文件 上 签字 。 

(4) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ,不 可 将 签名 移动 到 其 他 的 文件 。 

(5) 签名 不 可 变更 。 签 名 和 文件 不 能 改变 ,也 不 可 分 离 。 

(6) 数字 签名 有 一 定 的 处 理 速 度 ,能 够 满足 所 有 的 应 用 需求 。 

3. 数字 签名 种 类 

1) 手写 签名 或 印章 的 识别 

将 手写 签名 或 印章 作为 图 像 , 用 光 扫 描 经 光电 转换 后 在 数据 库 中 加 以 存储 。 当 验证 手 
写 得 名 或 印章 时 ,也 用 光 扫 描 输 入 ,并 将 原 数据 库 中 的 对 应 图 像 调 出 ,用 模式 识别 的 数学 计 
算 方法 对 两 者 进行 比 对 ,以 确认 该 签名 或 印章 的 真 伪 。 这 种 方法 曾经 在 银行 会 计 柜 台 使 用 
过 ,但 由 于 需要 大 容量 的 数据 库存 储 ,而且 每 次 手写 签名 和 印章 存在 差异 ,实用 性 不 强 , 也 不 
适合 在 互联 网 上 传输 。 

2) 生物 识别 

生物 识别 技术 是 利用 人 体 生 物 特 征 进 行 身份 认证 的 一 种 技术 。 生 物 特 征 是 一 个 人 与 他 
人 不 同 的 唯一 表征 ,可 以 测量 .自动 识别 和 验证 。 生 物 识 别 系统 对 生物 特征 进行 取样 ,提取 
其 唯一 的 特征 进行 数字 化 处 理 ,转换 成 数字 代码 ,并 进一步 将 这 些 代码 组 成 特征 模板 存储 在 
数据 库 中 。 人 们 同 识别 系统 交互 进行 身份 认证 时 ,识别 系统 获取 其 特征 并 与 数据 库 中 的 特 
征 模板 进行 比 对 ,以 确定 是 否 匹 配 ,从 而 决定 确认 或 否认 此 人 。 生 物 识 别 技术 主要 包括 指 
纹 、 声 音 、 人 像 、 掌 形 、 视 网 膜 、 虹 膜 \ 脸 型 DNA 和 多 种 方法 综合 等 识别 技术 。 

3) 密码 ,密码 代号 或 个 人 识别 码 

密码 ,密码 代号 或 个 人 识别 码 主要 是 指 用 一 种 传统 的 对 称 密 钥 加 /解密 的 身份 识别 和 签 
名 方法 。 甲 方 需要 乙方 签名 一 份 电子 文件 , 甲 方 可 产生 一 个 随机 码 传送 给 乙方 ,乙方 用 事先 
双方 约定 好 的 对 称 密 钥 加 密 该 随机 码 和 电子 文件 后 回 送 给 甲 方 , 甲 方 用 同样 的 对 称 密 钥 解 
密 后 得 到 电文 并 核对 随机 码 , 如 随机 码 核对 正确 , 甲 方 即 可 认为 该 电文 来 自 乙方 。 

4) 基于 量子 力学 的 计算 机 

基于 量子 力学 的 计算 机 被 称 为 量子 计算 机 ,是 以 量子 力学 原理 直接 进行 计算 的 计算 机 ， 
比 传统 的 图 灵 计 算 机 具有 更 强大 的 功能 ,其 计算 速度 比 现代 的 计算 机 快 几 亿 倍 。 量 子 计算 
机 对 目前 采用 的 密码 技术 提出 了 挑战 , 它 采 用 一 种 新 的 量子 密码 方式 , 即 利用 光子 的 相位 特 
性 编码 。 传 统 密码 在 被 窃听 者 破解 时 不 留 下 痕迹 ,但 这 种 密码 不 同 ,由 于 量子 力学 的 随机 性 
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非常 特殊 ,无 论 多 么 聪明 的 窃听 者 ,在 破译 这 种 密码 时 都 会 留 下 痕迹 ,甚至 在 密码 被 窃听 的 
同时 会 自动 改变 。 这 将 是 世界 上 最 安全 的 密码 认证 和 签名 方法 ,然而 ,这 种 量子 计算 机 或 光 
子 计算 机 还 只 处 于 研究 阶段 ,没有 被 广泛 应 用 。 

5) 基于 PKI 的 电子 签名 

基于 PKI 的 电子 签名 就 是 数字 签名 。 由 于 电子 签名 虽然 获得 了 技术 中 立 性 ,但 使 用 却 
不 方便 ,法 律 上 又 对 电子 签名 做 了 进一步 规定 ,如 联合 国 国际 贸易 法 委员 会 的 (电子 签名 示 
范 法 》) 和 欧盟 的 《电子 签名 共同 框架 指令 ) 中 就 规定 了 “可 靠 电 子 签名 ”和 “高 级 电子 签名 ”, 实 
际 上 就 是 规定 了 数字 签名 的 功能 ,这 种 规定 使 数字 签名 获得 了 更 好 的 应 用 安全 性 和 操作 性 。 
目前 ,具有 实际 意义 的 电子 签名 只 有 公 钥 密码 理论 ,所 以 目前 国内 外 普遍 使 用 的 还 是 基于 
PKI 的 数字 签名 。 作 为 公 钥 基础 设施 ,PKI 可 提供 多 种 网 上 安全 服务 ,如 认证 ,数据 保密 性 、 
数据 完整 性 和 不 可 否认 性 ,这 些 都 采用 了 数据 签名 技术 。 


5.3.2 数字 签名 过 程 及 实现 


对 一 个 电子 文件 进行 数字 签名 并 在 网 上 传输 ,通常 需要 的 技术 实现 过 程 包括 上 网 身份 
认证 .进行 签名 和 对 签名 的 认证 。 

1. 身份 认证 的 实现 

PKI 提供 的 服务 首先 是 认证 , 即 身份 识别 与 鉴别 ,就 是 确认 实体 (用 户 或 所 用 主机 的 操 
作 设 备 或 邮箱 ) 即 为 自己 所 声明 的 实体 。 认 证 的 前 提 是 双方 都 具有 第 三 方 CA 所 签发 的 证 
书 , 认 证 分 为 单 向 认证 和 双向 认证 。 

1) 单 向 认证 

双方 在 网 上 通信 时 , 甲 只 需要 认证 乙 的 身份 。 这 时 甲 需 要 获取 乙 的 证 书 。 获 取证 书 的 
方式 有 两 种 ,一 种 是 在 通信 时 乙 直接 将 证 书 传 给 甲 , 另 一 种 是 甲 向 CA 的 目录 服务 器 查询 索 
取 。 甲 获得 乙 的 证 书后 , 先 用 CA 的 根 证 书 公 钥 验 证 该 证 书 的 签名 ,验证 通过 说 明 该 证 书 是 
第 三 方 CA 签发 的 有 效 证 书 , 然 后 检查 证 书 的 有 效 期 \ 时 效 性 (LRC 检查 ) 及 黑 名 单 。 

2) 双向 认证 

双方 在 网 上 通信 时 ,双方 互相 认定 身份 。 其 认证 过 程 的 各 方 都 与 上 述 单 向 认证 过 程 相 
同 。 双 方 采用 轻 量 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) 在 网 上 查 
询 对方 证 书 的 有 效 性 及 黑 名 单 。 

2. 数字 签名 原理 

在 互相 认证 身份 后 ,网 上 通信 的 双方 即 可 发 送 签名 的 数据 电文 。 数 字 签 名 过 程 分 为 两 部 
分 : 签名 过 程 和 验证 过 程 , 如 图 5-9 所 示 。 发 送 方 将 原文 用 哈 希 算法 求 得 数字 摘要 ,用 签名 私 
钥 对 数字 摘要 加 密 求 得 数字 签名 ,然后 将 原文 与 数字 签名 一 起 发 送 给 接收 方 。 接 收 方 验证 签 
名 , 即 用 发 送 方 公 角 解密 数字 签名 ,得 出 数字 摘要 。 接 收 方 将 原文 采用 同样 的 哈 希 算法 又 得 一 个 
新 的 数字 摘要 ,将 两 个 数字 摘要 进行 比较 ,如 果 两 者 匹配 ,说 明 经 数字 签名 的 电子 文件 传输 成 功 。 

3. 数字 签名 的 签名 过 程 

数字 签名 的 签名 过 程 如 图 5-10 所 示 ,需要 有 发 送 方 的 签名 证 书 的 私 钥 及 其 验证 公 钥 。 
数字 签名 具体 的 实际 操作 过 程 为 : 生成 被 签名 的 电子 文件 后 ,对 电子 文件 用 哈 希 算法 做 数 
字 摘 要 ,再 对 数字 摘要 用 签名 私 钥 做 非 对 称 加 密 , 即 做 数字 签名 ; 将 以 上 的 签名 .电子 文件 
原文 及 签名 证 书 的 公 钥 一 起 封装 ,形成 签名 结果 发 送 给 接收 方 验证 。 
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图 5-10 签名 过 程 


4. 数字 签名 的 验证 过 程 

接收 方 收 到 发 送 方 的 签名 后 进行 签名 验证 ,其 具体 操作 过 程 如 图 5-11 所 示 ,接收 方 收 
到 数字 签名 的 结果 , 即 待 验证 的 数据 ,包括 数字 签名 .电子 原文 和 发 方 公 钥 。 然 后 ,接收 方 用 
发 送 方 公 钥 解密 数字 签名 ,导出 数字 摘要 ,并 对 电子 文件 原文 做 同样 的 哈 希 算法 得 到 一 个 新 的 
数字 摘要 ,将 两 个 摘要 的 散 列 值 进行 比较 , 若 结果 相同 则 说 明 签名 得 到 验证 ,和 否则 签名 无 效 。 


容 
| 输 比 6 一 一 一 一 国 
较 结果 


证 书 公 铀 待 验 证 的 
签名 结果 
散 列 运算 
数字 摘要 电子 文件 
图 5-11 验证 过 程 


如 果 接 收 方 对 发 送 方 的 数字 签名 验证 成 功 ,就 可 以 说 明 三 个 实质 性 的 问题 。 
(1) 该 电子 文件 确实 是 由 签名 者 的 发 送 方 所 发 出 的 ,电子 文件 来 源 于 该 发 送 者 ,因为 签 
署 时 电子 签名 数据 由 电子 签名 人 所 控制 。 
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(2) 被 签名 的 电子 文件 确实 是 经 发 送 方 签名 后 发 送 的 ,说 明 发 送 方 用 了 自己 的 私 钥 做 
的 签名 ,并 得 到 验证 ,达到 不 可 否认 的 目的 。 

(3) 接收 方 收 到 电子 文件 在 传输 中 没有 被 自 改 .保持 了 数据 的 完整 性 ,因为 签署 后 对 电 
子 签名 的 任何 改动 都 能 够 被 发 现 。 

5. 原文 加 密 的 数字 签名 

原文 加 密 的 数字 签名 的 过 程 要 求 对 数字 签名 方法 的 实现 涉及 "数字 信封 ”的 问题 ,此 处 
理 过 程 稍微 复杂 一 些 , 但 数字 签名 的 基本 原理 仍 相 同 , 其 签名 过 程 如 图 5-12 所 示 。 
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数字 签名 
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字 |[--| 数 字 信封 (esN) 


图 5-12 原文 加 密 的 数字 签名 实现 方法 


SK 


这 是 一 个 典型 的 “数字 信封 ”处理 过 程 。 其 基本 原理 是 将 原文 用 对 称 密 钥 加 密 传输 ,而 
将 对 称 密 钥 用 接收 公 钥 加 密 发 送 给 对 方 。 如 同 将 对 称 密 钥 放 在 同一 个 数字 信封 ,接收 方 收 
到 数字 信封 ,用 自己 的 私 钥 解密 信封 ,取出 对 称 密 钥 解密 原文 。 

原文 加 密 的 数字 签名 的 过 程 如 下 。 

(1) 发 送 方 A 将 原文 信息 进行 哈 希 算法 ,得 到 一 哈 希 值 , 即 数字 摘要 MD。 

(2) 发 送 方 A 用 自己 的 私 钥 PVA ,采用 非 对 称 RSA 算法 对 数字 摘要 MD 加 密 , 即 得 数 
字 签 名 DS。 

(3) A 用 对 称 密 钥 SK 对 原文 ,数字 签名 DS 及 A 证 书 的 公 钥 PB 加密 ,得 加 密 信息 E。 

(4) 发 送 方 用 接收 方 B 的 公 钥 PBs ,采用 RSA 算法 对 对 称 密 钥 SK 加 密 ,形成 数字 信封 
DE ,就 好 像 将 对 称 密 钥 SK 装 到 了 一 个 用 接收 方 公 钥 加 密 的 信封 里 。 

(5) 发 送 方 A 将 加 密 信 息 E 和 数字 信封 DE 一 起 发 送 给 接收 方 B。 

(6) 接收 方 B 接收 到 数字 信封 DE 后 ,首先 用 自己 的 私 钥 PVs 解密 数字 信封 ,取出 对 称 
密 钥 SK。 

(7) B 用 对 称 密 钥 SK 以 DES 算法 解密 下 还 原 出 原文 .数字 签名 DS 及 发 送 方 A 证 书 
的 公 钥 PB。。 

(8) 接收 方 B 验证 数字 签名 , 先 用 发 送 方 A 的 公 钥 解密 数字 签名 得 数字 摘要 MD。 

(9) 接收 方 B 同时 将 原文 信息 用 同样 的 哈 希 算法 , 求 得 一 个 新 的 MD ” 。 

(10) 将 两 个 数字 摘要 MD 和 MD’ 进行 比较 ,车 相等 则 说 明 数 据 没 被 算 改 ,签名 真实 ， 
否则 拒绝 该 签名 。 此 过 程 实现 了 机 密 信息 在 数字 签名 的 传输 中 不 被 自 改 的 保密 目的 。 
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一 、 填 空 题 

1.( ”) 认 证 方式 是 最 简单 .应 用 最 广泛 的 身份 认证 方法 。 

2.〈 ”) 是 国际 认证 机 构 的 通称 ,是 对 数字 证 书 的 申请 用 户 进行 发 放 , 管 理 \ 校 验 或 取 
消 的 机 构 。 

3. AAA 认证 系统 中 ( ”) 是 依据 认证 结果 开放 网 络 服务 给 用 户 的 过 程 。 

.< ) 模 式 是 指定 义 几 个 特定 的 信息 安全 级 别 , 将 资源 归属 于 这 些 安全 级 别 中 。 

5. 自主 访问 控制 一 般 采 用 ( ”) .访问 控制 列表 和 访问 控制 能 力 列表 三 种 机 制 来 存放 


不 同 主体 的 访问 控制 权限 。 

二 、 选择 题 

1. 数字 签名 的 ( ) 功 能 是 指 签名 可 以 证 明 是 签名 者 而 不 是 其 他 人 在 文件 上 签字 。 
A. 签名 不 可 伪造 B. 签名 不 可 变更 
C. 签名 不 可 抵赖 D. 签名 是 可 信和 的 

性 ) 不 属于 AAA 系统 提供 的 服务 类 型 。 
A. 认证 B. 授权 C. 访问 D. 审计 

3. PKI 解决 信息 系统 中 的 ( ) 问 题 。 
A. 身份 信任 B. 权限 管理 C. 安全 审计 D. 安全 传输 


4. 以 下 关于 CA 认证 中 心 说 法 正确 的 是 ( )。 
A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 
B. CA 认证 中 心 只 负责 签名 ,不 负责 证 书 的 产生 
C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 .并 依靠 证 书证 明 一 个 用 户 的 身份 
D. CA 认证 中 心 不 用 保持 中 立 , 可 以 任意 找 一 个 用 户 来 作为 CA 认证 中 心 
. 下 图 为 一 种 数字 签名 方案 ,防止 A 抵赖 的 证 据 是 ( 各 
发 送 方 A 接收 方 B 
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A 的 私 钥 


A 


B 的 私 钥 A 的 公 钥 
De EA P 


B 的 公 钥 
B 


A P B. Da (P) C. Es(D,(P)) D. DA 

三 、 判断 题 

1. 基于 行 的 自主 访问 控制 一 般 采 用 访问 控制 能 力 列表 来 实现 。 

2. RBAC 的 核心 思想 就 是 将 访问 权限 与 角色 相 联 系 ,通过 给 用 户 分 配合 适 的 角色 ,让 
用 户 与 访问 权限 相关 联 。 

3. 身份 认证 技术 解决 了 用 户 是 “ 谁 ” 的 问题 .访问 控制 决定 了 用 户 “ 能 够 做 什么 ”。 

4. 访问 控制 策略 是 主体 对 客体 的 访问 规则 集 , 即 属性 集合 。 

5. 访问 控制 列表 是 实现 基于 列 的 自主 访问 控制 采用 最 多 的 一 种 方式 。 


四 、 简 答题 


an 上 性 


6. 


五 


. 访问 控制 包括 哪 三 个 要 素 ? 

. AAA 系统 提供 哪些 服务 ? 

. 在 实际 应 用 中 ,数字 信封 常用 来 解决 什么 问题 ? 如 何 解决 ? 
. 什么 是 身份 认证 ? 

. 访问 控制 模式 有 哪 三 种 模式 ? 


什么 是 数字 签名 ? 


、 综 合 题 


下 图 为 数字 签名 工作 原理 示意 图 ,发 送 方 为 A, 接 收 方 为 B。 图 中 外 一 @ 省 略 密 钥 名 
称 。 如 果 对 称 密 钥 为 K ,发 送 方 私 钥 为 SA ,发 送 方 公 钥 为 PA ,接收 方 私 钥 为 SB, 接 收 方 公 
钥 为 PB。 

(1) 请 写 出 图 中 四 一 @ 省 略 的 密 钥 名 称 。 

(2) 给 出 接收 方 比较 MD 和 MD' 的 目的 。 
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第 6 章 防火 墙 技术 


【本 章 学 习 目 标 】 

。 理解 防火 墙 的 概念 

。 了解 防火 墙 的 功能 

。 了解 各 种 防火 墙 类 型 

。 掌握 包 过 滤 与 代理 服务 技术 
。 掌握 防火 墙 的 体系 结构 

。 掌握 PIX 防火 墙 配置 技术 


6.1 防火 墙 概述 


6.1.1 防火 墙 概念 


防火 墙 是 由 软件 和 硬件 组 成 的 系统 , 它 处 于 安全 的 网 络 ( 通 常 是 内 部 局 域 网 ) 和 不 安全 
的 网 络 (通常 是 因特网 ,但 不 局 限于 因特网 ) 之 间 , 根 据 系统 管理 员 设置 的 访问 控制 规则 ,对 
数据 流 进行 过 滤 。 

由 于 防火 墙 位 于 两 个 网 络 之 间 ,因此 从 一 个 网 络 到 另 一 个 网 络 的 所 有 数据 流 都 要 流 经 
防火 墙 ,根据 安全 策略 ,防火 墙 对 数据 流 的 处 理 方式 有 三 种 : 允许 数据 流通 过 ; 四 拒绝 数 
据 流通 过 ; @ 将 这 些 数据 流 丢弃 。 当 数据 流 被 拒绝 时 ,防火 墙 要 向 发 送 者 回复 一 条 消息 , 提 
示 发 送 者 该 数据 流 已 被 拒绝 。 当 数据 流 被 丢弃 时 ,防火 墙 不 会 对 这 些 数据 流 进行 任何 处 理 ， 
也 不 会 向 发 送 者 发 送 任 何 提示 信息 。 

防火 墙 一 般 是 指 在 两 个 网 络 间 执行 访问 控制 策略 的 一 个 或 一 组 系统 ,如 图 6-1 所 示 。 
防火 墙 是 架设 在 用 户 内 部 网 络 和 外 部 公共 网 络 之 间 的 屏障 ,提供 两 个 网 络 之 间 的 单 点 防御 ， 
对 其 中 的 一 个 网 络 ( 通 常 是 用 户 内 部 网 络 ) 提 供 安全 保护 。 其 中 由 防火 墙 隔离 出 的 空间 被 称 
为 DMZ,DMZ 是 英文 demilitarized zone 的 缩写 ,中 文 名称 为 “隔离 区 ”, 也 称 “ 非 军事 化 区 ”。 
它 是 一 个 非 安全 系统 与 安全 系统 之 间 的 缓冲 区 ,用 于 解决 安装 防火 墙 后 ,外 部 网 络 的 用 户 不 
能 访问 内 部 网 络 服务 器 的 问题 。 与 因特网 相 比 ,DMZ 可 以 提供 更 高 的 安全 性 ,但 是 其 安全 
性 比 内 部 网 络 低 。 从 功能 上 说 ,Internet 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入口 ， 
能 够 根据 内 部 网 络 的 安全 策略 控制 出 入 网 络 的 信息 流 , 尽 可 能 对 外 部 屏蔽 网 络 内 部 的 信息 、 
结构 和 运行 状况 ,以 防止 发 生 和 人 侵 。 从 逻辑 上 来 说 ,防火 墙 是 一 个 分 离 器 .限制 器 、 分 析 器 ， 
它 能 够 有 效 地 监控 内 部 网 和 外 部 网 之 间 的 所 有 活动 ,保证 内 部 网 络 的 安全 。 从 物理 上 来 说 ， 
防火 墙 是 位 于 网 络 特殊 位 置 的 一 系列 安全 部 件 的 组 合 , 它 既 可 以 是 专用 的 防火 墙 硬件 设备 ， 


也 可 以 是 路 由 器 或 交换 机 上 的 安全 组 件 , 还 可 以 是 运行 安全 软件 的 主机 。 
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图 6-1 防火 墙 示 意图 


6.1.2 防火 墙 发 展 


从 诞生 至 今 ,防火 墙 经 过 了 几 代 的 发 展 , 现 在 的 防火 墙 已 经 与 最 初 的 防火 墙 大 不 相同 
了 。 最 初 的 防火 墙 依附 于 路 由 器 , 它 只 是 路 由 器 中 的 一 个 过 滤 块 。 后 来 随 着 过 滤 功 能 的 完 
善 和 过 滤 深 度 的 增加 ,防火 墙 逐 步 从 路 由 器 中 分 离 出 来 成 为 一 个 独立 的 设备 。 

迄今 为 止 ,防火 墙 的 发 展 经 历 了 30 多 年 的 时 间 。 防 火 墙 技 术 的 发 展 阶段 如 图 6-2 所 
示 。 第 一 代 防 火 墙 始 于 1985 年 前 后 , 它 几 乎 与 路 由 器 同时 出 现 ,由 Cisco 的 IOS 软件 公司 
研制 。 这 一 代 防 火 墙 称 为 包 过 滤 防 火 墙 。 直 到 1988 年 ,DEC 公司 的 Jeff Mogul 根据 自己 
的 研究 , 才 发 表 了 第 一 篇 描述 有 关 包 过 滤 防 火 墙 过 滤 过 程 的 文章 。 


动态 包 过 小 
应 用 级 
包 过 滤 | | 自 适应 代理 
1980 年 1985 年 1990 年 1995 年 2000 年 


图 6-2 防火 墙 技 术 的 发 展 阶段 


1989 一 1990 年 前 后 ,AT&T 贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 率先 提 

出 了 基于 电路 中 继 的 第 二 代 防 火 墙 结构 ,此 类 防火 墙 被 称 为 电路 级 网 关 防 火 墙 。 但 是 ,他 们 

既 没有 发 表 描述 这 一 结构 的 任何 文章 ,也 没有 发 布 基于 这 一 结构 的 任何 产品 。 第 
第 三 代 防 火 墙 结构 是 在 20 世纪 80 年 代 末 和 20 世纪 90 年 代 初 由 普 渡 大 学 的 Gene | 6 
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Spafford、AT&T 贝尔 实验 室 的 Bill Cheswick 和 Marcus Ranum 分 别 研究 和 开发 的 。 这 一 
代 防 火 墙 被 称 为 应 用 级 网 关 防 火 墙 。 在 1991 年 ,Ranum 的 文章 引起 了 人 们 的 广泛 关注 。 
此 类 防火 墙 采 用 了 在 堡垒 主机 运行 代理 服务 的 结构 。 根 据 这 一 研究 成 果 ,DEC 公司 推出 了 
第 一 个 商用 产品 SEAL。 

大 约 在 1991 年 ,Bill Cheswick 和 Steve Bellovin 开始 了 对 动态 包 过 滤 防 火 墙 的 研究 。 
1992 年 ,在 USC 信息 科学 学 院 工作 的 Bob Braden 和 Annette DeSchon 开始 研究 用 于 Visas 
系统 的 动态 包 过 滤 防 火 墙 ,后 来 它 演变 为 目前 的 状态 检测 防火 墙 。1994 年 ,以 色 列 的 
Check Point Software 公司 推出 了 基于 第 四 代 结 构 的 第 一 个 商用 产品 。 

在 1998 年 由 NAI 公 司 推出 的 自 适 应 代理 (Adaptive Proxy) 技 术 给 代理 类 型 的 防火 墙 
赋予 了 全 新 的 意义 ,可 以 称 为 第 五 代 防 火 墙 。 


6.2 防火墙 功 能 及 功能 局 限 性 


6.2.1 防火 墙 功能 


防火 墙 位 于 网 络 的 边界 ,因此 被 认为 是 边界 安全 。 其 主要 功能 如 下 。 

(1) 建立 一 个 集中 的 监视 点 。 防 火 墙 位 于 两 个 或 多 个 网 络 之 间 , 对 所 有 流 经 它 的 数据 
包 都 进行 过 滤 和 检查 ,这 些 检 查 点 被 称 为 “阻塞 点 ”。 通 过 强制 所 有 进出 流量 通过 阻塞 点 ,网 
络 管 理 员 可 以 集中 管理 保障 网 络 安全 。 

(2) 监视 网 络 的 安全 性 ,并 产生 报警 。 对 一 个 内 部 网 络 已 经 连接 到 因特网 上 的 机 构 来 
说 ,重要 的 问题 并 不 是 网 络 是 否 会 受到 攻击 ,而 是 何 时 会 受到 攻击 。 网 络 管理 员 必须 审计 并 
记录 所 有 通过 防火 墙 的 重要 信息 。 如 果 网 络 管 理 员 不 能 及 时 响应 报警 并 审查 常规 记录 , 防 
火 墙 就 形同虚设 。 

(3) 网 络 地 址 转换 。 网 络 地 址 转换 是 指 在 局 域 网 内 部 使 用 私有 IP 地 址 , 当 内 部 用 户 要 
与 外 部 网 络 进行 通信 时 ,就 在 网 络 出 口 处 将 私有 IP 地 址 替换 成 公用 IP 地 址 。 因 此 ,在 防火 
墙 上 实现 网 络 地 址 转换 ,可 以 缓解 IP 地 址 空间 短缺 的 问题 ,并 屏蔽 内 部 网 络 的 结构 和 信息 ， 
保证 内 部 网 络 的 稳定 性 。 

(4) 审计 和 记录 因特网 使 用 量 。 网 络 管理 员 可 以 在 此 向 管理 部 门 提 供 因特网 连接 的 费 
用 情况 , 查 出 潜在 的 带宽 瓶颈 的 位 置 ,并 能 够 根据 机 构 的 核算 模式 提供 部 门 级 的 计 费 。 

(5) 强化 网 络 安全 策略 。 通 过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 的 安全 软件 
(如 口令 加密、 身份 认证 、 审 计 等) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散在 各 个 主机 上 
相 比 ,防火 墙 的 集中 安全 管理 更 为 经 济 。 


6.2.2 防火 墙 功能 局 限 性 


防火 墙 技术 是 内 部 网 络 最 重要 的 安全 技术 之 一 ,但 防火 墙 也 有 其 明显 的 局 限 性 。 

(1) 对 于 绕 开 了 防火 墙 的 攻击 行为 ,防火 墙 不 能 提供 保护 。 例 如 ,内 部 主机 可 以 通过 拨 
号 连接 互联 网 业务 提供 商 ISP 的 网 络 .局域网 LAN 内 部 可 能 配置 了 一 个 调制 解 调 器 池 ,为 
出 差 的 雇员 和 在 家 中 通过 网 络 远程 上 班 的 雇员 服务 。 这 些 都 形成 了 内 网 与 外 网 的 多 个 接 
口 , 从 而 绕 开 了 防火 墙 的 控制 。 


(2) 防火 墙 对 来 自 内 部 的 威胁 不 能 提供 保护 。 如 一 个 心怀 不 满 的 雇员 在 网 络 内 部 进行 
攻击 。 

(3) 防火 墙 不 能 对 那些 已 经 受到 病毒 感染 的 程序 和 文件 的 传输 提供 保护 。 因 为 在 局 域 
网 内 支持 各 种 操作 系统 和 应 用 ,要 求 防火 墙 对 所 有 进入 的 文件 .邮件 和 信息 进行 病毒 扫描 是 
不 现实 和 不 可 能 的 。 


6.3 ”防火 墙 的 分 类 


防火 墙 可 以 按照 不 同 的 分 类 标准 进行 分 类 。 
6.3.1 以 防火 墙 的 软 硬 件 形 式 分 类 


1. 软件 防火 墙 

防火 墙 软件 运行 于 一 般 的 计算 机 上 ,需要 操作 系统 的 支持 ,运行 防火 墙 软件 的 这 台 计 算 
机 承担 整个 网 络 的 网 关 和 防火 墙 功 能 。 软 件 防火 墙 就 像 其 他 软件 产品 一 样 ,需要 先 在 计算 
机 上 安装 并 做 好 配置 才 可 以 使 用 。 

2. 硬件 防火 墙 

硬件 防火 墙 是 由 防火 墙 软件 和 运行 该 软件 的 特定 计算 机 构成 。 这 里 的 硬件 是 指 这 类 防 
火 墙 包括 一 个 硬件 设备 , 它 通常 是 PC 架构 的 计算 机 。 这 类 防火 墙 与 芯片 级 防火 墙 的 最 大 
差别 在 于 , 它 是 否 是 基于 专用 的 硬件 平台 。 目 前 的 大 多 数 硬件 防火 墙 都 基于 PC 架构 ,其 本 
质 和 普通 的 PC 没有 太 大 区 别 , 只 不 过 这 些 PC 架构 的 计算 机 上 运行 的 是 一 些 经 过 简化 的 操 
作 系统 。 这 类 防火 墙 的 处 理 能 力 比 软件 防火 墙 高 。 

3. 攻 片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 ,使 用 专用 的 嵌入 式 实时 操作 系统 。 专 用 的 ASIC 
芯片 使 它们 比 其 他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 由 于 使 用 专用 操作 系 
统 ,防火 墙 本 身 的 漏洞 较 少 ,但 价格 相对 较 高 。 


6.3.2 以 防火 墙 的 过 渡 层 次 分 类 


1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 工作 在 OSI 参考 模型 的 网 络 层 和 传输 层 , 可 以 获取 IP 层 和 TCP 层 信息 ， 
当然 也 可 以 获取 应 用 层 信 息 。 它 根据 数据 报头 的 源 地 址 、 目 的 地 址 、 端 口号 和 协议 类 型 等 标 
志 确 定 是 否 允 许 通 过 。 只 有 满足 过 滤 条 件 的 数据 报 才 被 转发 到 相应 的 目的 地 ,其 余数 据 报 
则 被 从 数据 流 中 丢弃 。 包 过 滤 方 式 是 一 种 简单 有效 的 安全 手段 .能 够 满足 绝 大 多 数 企业 的 
安全 需求 。 

2. 电路 级 网 关 防 火 墙 

电路 级 网 关 防火 墙 用 来 监控 内 部 网 络 服务 器 与 不 受信 任 的 外 部 主机 间 的 TCP 握手 信 
息 , 以 此 来 决定 该 会 话 是 否 合法 。 电 路 级 网 关 是 在 OSI 模型 的 会 话 层 上 过 滤 数据 报 , 其 层 
次 比 包 过 滤 防火 墙 高 。 

3. 应 用 层 网 关 防 火 墙 

应 用 层 网 关 防 火 墙 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 它 通过 对 每 一 种 应 用 服务 编制 专 
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门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 信 流 的 功能 。 由 于 应 用 级 网 关 能 够 理解 应 用 层 协 
议 ,所 以 它 能 够 做 一 些 复 杂 的 访问 控制 ,可 执行 比较 精细 的 日 志和 审核 ,并 且 能 够 对 数据 报 
进行 分 析 并 形成 相关 的 安全 报告 。 不 过 ,因为 每 一 种 协议 都 需要 相应 的 代理 软件 ,所 以 应 用 
层 网 关 防 火 墙 工作 量 大 ,效率 不 如 其 他 两 种 防火 墙 高 。 


6.3.3 以 防火 墙 应 用 部 署 位 置 分 类 


1. 边界 防火 墙 

边界 防火 墙 位 于 内 部 网 络 和 外 部 网 络 的 边界 ,对 内 部 网 络 和 外 部 网 络 实施 隔离 ,保护 内 
部 网 络 。 这 类 防火 墙 一 般 至 少 是 硬件 防火 墙 类 型 的 ,吞吐 量 大 ,性 能 较 好 。 

2. 个 人 防火 墙 

安装 于 单 台 主机 中 , 仅 保护 单 台 主 机 。 这 类 防火 墙 应 用 于 个 人 用 户 和 企业 内 部 的 主机 ， 
通常 为 软件 防火 墙 。 

3. 混合 式 防火 墙 

这 是 一 整套 防火 墙 系统 ,由 若干 软 、 硬 件 组 件 组 成 ,分 布 于 内 部 网 络 和 外 部 网 络 的 边界 、 
内 部 网 络 各 主机 之 间 。 它 既 对 内 部 网 络 和 外 部 网 络 之 间 的 通信 进行 过 滤 , 又 对 网 络 内 部 各 
主机 间 的 通信 进行 过 滤 。 这 类 防火 墙 性 能 较 好 ,但 部 署 较为 复杂 。 


6.4 防火 墙 技 术 


所 有 防火 墙 均 依赖 于 对 OSI 参考 模 型 中 各 层 协议 所 产生 的 信息 流 进行 检查 。 任 何 一 
个 防火 墙 所 能 提供 的 安全 保护 等 级 都 是 与 厂商 所 采用 的 防火 墙 技术 息息相关 的 。 目 前 ,在 
各 种 网 络 环境 中 应 用 的 防火 墙 大 多 采用 了 两 种 基本 的 技术 : 包 过 滤 和 代理 服务 。 

1. 包 过 滤 技 术 

包 过 滤 是 在 网 络 的 适当 位 置 , 根 据 系统 设备 的 过 滤 规 则 ,对 数据 报 实施 过 滤 , 只 允许 满 
足 过 滤 规 则 的 数据 报 通 过 并 将 其 转发 到 目的 地 ,而 其 他 不 满足 规则 的 数据 报 则 被 丢弃 。 当 
前 大 多 数 的 网 络 路 由 器 都 具有 一 定 的 包 过 滤 功 能 。 

2. 代理 服务 技术 

代理 服务 是 在 防火 墙 上 运行 专门 的 应 用 程序 或 服务 器 程序 ,这 些 程序 根据 安全 策略 处 
理 用 户 对 网 络 服务 的 请 求 。 代 理 服务 位 于 内 部 网 络 和 外 部 网 络 之 间 ,处理 其 间 的 通信 以 替 
代 相 互 直接 的 通信 。 


6.4.1 过 渡 型 防火 墙 


1. 静态 包 过 滤 防 火 墙 

1) 静态 包 过 滤 防 火 墙 工作 原理 

最 简单 的 防火 墙 形式 是 静态 包 过 滤 防 火 墙 , 它 一 般 工 作 在 TCP/IP 的 IP 层 , 工 作 原理 
如 图 6-3 所 示 。 一 个 静态 包 过 滤 防 火 墙 通常 是 一 台 有 能 力 过 滤 数 据 报 部 分 内 容 的 路 由 器 。 
当 执行 包 过 滤 时 , 包 过 滤 规 则 被 定义 在 防火 墙 上 ,这 些 规则 用 来 匹配 数据 报 内 容 以 决定 哪些 
包 被 允许 ,哪些 包 被 拒绝 。 当 防火 墙 拒绝 通信 时 ,可 以 采用 两 个 操作 ,通知 通信 的 发 送 者 其 
数据 将 被 丢弃 ,或 者 没有 任何 通知 直接 丢弃 这 些 数据 。 使 用 第 一 个 操作 时 ,用 户 将 知道 通信 


被 防火 墙 过 滤 掉 了 ,如 果 这 是 一 个 试图 访问 内 部 资源 的 内 部 用 户 , 该 用 户 可 以 与 管理 员 联 
系 。 如 果 防 火 墙 不 返回 一 个 消息 ,用 户 将 由 于 不 知道 为 何不 能 建立 连接 而 花费 更 多 的 时 间 
和 精力 去 解决 这 个 问题 。 
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图 6-3 静态 包 过 滤 防 火 墙 工 作 原理 示意 图 


在 静态 包 过 滤 防 火 墙 上 做 一 个 过 滤 决 定时 ,要 用 到 许多 信息 。 如 检查 防火 墙 所 使 用 的 
过 滤 表 。 表 6-1 列 出 了 路 由 器 的 包 过 滤 规 则 。 


表 6-1 包 过 滤 规 则 表 


规则 源 地 址 目的 地 址 协议 类 型 端口 操作 
1 任意 W111 TCP 80 允许 
2 任意 202.1.1.2 UDP 53 允许 


表 6-1 中 ,规则 1 说 明 如 果 有 来 自任 何 设备 的 数据 报 被 送 到 202. 1.1. 1 的 TCP 端口 80， 
那么 它 应 该 被 静态 包 过 滤 防 火 墙 允许 。 同 样 ,规则 2 说 明 任何 数据 报 被 发 送 到 202. 1. 1. 2 
的 UDP 端口 53, 那 么 这 些 数据 报 均 被 允许 。 除 此 之 外 ,任何 其 他 类 型 的 数据 报 都 会 被 
丢弃 。 

2) 静态 包 过 滤 防 火 墙 优 缺 点 

静态 包 过 滤 防 火 墙 的 优点 是 : 由 于 静态 包 过 滤 防 火 墙 只 是 简单 根据 网 络 地 址 、 协 议和 
端口 进行 访问 控制 ,所 需 进行 的 处 理 较 少 ,因此 对 网 络 性 能 的 影响 比较 小 ,处 理 速 度 快 ,硬件 
和 软件 都 容易 实现 ; 成 本 较 低 ,配置 和 使 用 方法 简单 ,客户 端 不 需要 进行 特别 配置 ; 可 以 提 
供 附 加 的 网 络 地 址 映射 功能 ,可 以 隐藏 内 部 网 络 结构 。 

静态 包 过 滤 防 火 墙 的 缺点 是 : 不 能 理解 应 用 层 协 议 ,不 能 对 数据 分 组 中 更 高 层 的 信息 
进行 分 析 过 滤 ,因而 安全 性 差 ; 不 能 跟踪 连接 状态 和 与 应 用 有 关 的 信息 ; 在 支持 网 络 服务 
的 情况 下 ,或 者 在 使 用 动态 分 配 端口 服务 的 情况 下 ,很 难 测 试用 户 指定 的 访问 控制 规则 的 有 
效 性 ; 在 过 滤 规 则 较 多 、 较 复杂 的 情况 下 .会 引起 网 络 性 能 的 下 降 。 

2. 动态 包 过 滤 防 火 墙 

1) 动态 包 过 滤 防火 墙 工作 原理 

动态 包 过 滤 防 火 墙 又 称 为 状态 检测 防火 墙 , 它 是 在 静态 包 过 滤 防 火 墙 的 基础 上 发 展 而 
来 的 。 动 态 包 过 滤 防 火 墙 的 工作 原理 如 图 6-4 所 示 。 在 动态 包 过 滤 防 火 墙 中 有 一 个 状态 检 
测 表 , 它 由 规则 表 和 连接 状态 表 两 部 分 构成 。 首 先 利 用 规则 表 进 行 数据 报 的 过 滤 ,此 过 程 与 
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网 络 作 会 基础 


静态 包 过 滤 防 火 墙 基本 相同 。 如 果 某 个 数据 报 ( 如 “IP 分 组 B,”) 在 进入 防火 墙 时 ,规则 表 拒 
绝 它 通 过 , 则 防火 墙 将 直接 丢弃 该 数据 报 , 与 该 数据 报 相关 的 后 续 数 据 报 ( 如 “IP 分 组 B,” 
“IP 分 组 B,”) 同 样 会 被 拒绝 通过 。 如 果 某 个 数据 报 ( 如 “IP 分 组 Ai”) 在 进入 防火 墙 时 ,与 
该 规则 表 中 的 某 一 条 规则 (如 “规则 3”) 相 匹配 , 则 规则 表 允 许 其 通过 。 此 时 ,动态 包 过 滤 防 
火 墙 会 分 析 已 通过 的 数据 报 (*IP 分 组 A,”) 的 相关 信息 ,并 在 连接 状态 表 中 为 这 次 通信 过 
程 建立 一 个 连接 (如 “连接 1”)。 之 后 当 同 一 通信 过 程 中 的 后 续 数 据 报 ( 如 “IP 分 组 As”“IP 
分 组 As”……) 进 入 防火 墙 时 ,动态 包 过 滤 防 火 墙 不 再 进行 规则 表 的 匹配 ,而 是 直接 与 状态 
表 进行 匹配 。 由 于 后 续 的 数据 报 与 已 经 允许 通过 防火 墙 的 数据 报 “IP 分 组 A,” 具 有 相同 的 
连接 信息 ,所 以 会 直接 允许 其 通过 。 


拒绝 
(deny) 
状态 检测 表 
规则 表 
IP 分 组 B; 芳 
IP 分 组 B DY ll 
规则 2 
IP 分 组 Al 芳 规则 3 硬 IP 分 组 Ai 
规则 
连接 状态 表 
了 分 组 Ae 时 过 所 画 IP 分 组 A> Ip 分 组 A 
中 分 站 入 时 连 图 卫 分 二 A pIp 分 组 A, 
连接 2 
连接 3 
连接 n 
允许 
(permit) 


图 6-4 动态 包 过 滤 防 火 墙 工 作 原理 示意 图 


2) 动态 包 过 滤 防 火 墙 优 缺点 

动态 包 过 滤 防 火 墙 的 优点 是 : 与 静态 包 过 滤 防 火 墙 相 比 ,通过 对 数据 报 的 跟踪 监测 技 
术 , 解 决 了 静态 包 过 滤 防 火 墙 中 某 些 应 用 在 需要 使 用 动态 端口 时 存在 的 安全 隐患 ,解决 了 静 
态 包 过 滤 防 火 墙 中 存在 的 一 些 缺陷 ; 动态 包 过 滤 防 火 墙 不 需要 中 断 直 接 参 与 通信 的 两 台 
机 之 间 的 连接 ,对 网 络 速度 的 影响 较 小 ; 动态 包 过 滤 防 火 墙 具有 新 型 的 分 布 式 防火 墙 的 特 
征 , 它 可 以 使 用 分 布 式 探测 器 对 外 部 网 络 的 攻击 进行 检测 ,同时 对 内 部 网 络 的 恶意 破坏 进行 
防范 。 
动态 包 过 滤 防 火 墙 的 缺点 是 : 对 防火 墙 CPU 内存 等 硬件 要 求 较 高 ,安全 性 主要 依赖 
于 防火 墙 操作 系统 的 安全 性 ,安全 性 不 如 代理 型 防火 墙 。 


6.4.2 代理 型 防火 墙 


1. 应 用 级 网 关 防 火 墙 

1) 应 用 级 网 关 防 火 墙 工 作 原 理 

应 用 级 网 关 防 火 墙 通常 称 为 应 用 代理 服务 器 , 它 能 够 检查 进出 的 数据 报 ,通过 网 关 复 制 
传递 数据 ,防止 在 受信 任 服务 器 和 客户 机 与 不 受信 任 的 主机 间 直 接 建 立 连接 ,其 工作 原理 如 
图 6-5 所 示 。 
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图 6-5 ”应 用 级 网 关 防 火 墙 工 作 原 理 示意 图 


应 用 级 网 关 防 火 墙 必须 为 特定 的 应 用 编写 特定 的 程序 ,这 些 程序 的 集合 称 为 代理 服务 ， 
它们 在 网 关内 部 分 别 以 客户 机 和 服务 器 的 形式 存在 。 因 此 ,代理 服务 是 负责 处 理 通过 防火 
墙 的 某 一 类 特定 服务 数据 流 的 专用 程序 。 应 用 级 网 关 防 火 墙 将 “客户 机 /服务 器 "模型 打破 ， 
并 用 两 个 连接 来 代替 : 一 个 从 客户 机 到 防火 墙 , 另 一 个 从 防火 墙 到 服务 器 。 

应 用 级 网 关 防 火 墙 在 接受 网 络 连接 之 前 , 先 在 应 用 层 检查 网 络 分 组 中 包含 的 有 效 数 据 ， 
并 在 连接 建立 的 整个 期 间 检查 应 用 层 分 组 内 容 , 维 护 详细 的 连接 状态 和 序列 信息 。 应 用 级 
网 关 防 火 墙 可 以 验证 用 户口 令 和 服务 请 求 只 在 应 用 层 出 现 的 信息 。 这 种 机 制 可 以 提供 增强 
的 访问 控制 ,以 实现 对 有 效 数 据 的 检查 和 对 传输 信息 的 审计 功能 ,并 可 以 实现 一 些 增值 服务 
(如 服务 调用 审计 和 用 户 认 证 等 )。 所 有 调用 服务 的 通信 都 必须 经 过 网 关中 的 客户 机 和 服务 
器 代理 程序 过 滤 。 应 用 级 网 关 防 火 墙 中 的 代理 会 接收 、 传 递 和 过 滤 由 特定 服务 生成 的 数据 
报 。 如 HTTP 代理 只 能 复制 ,传递 和 过 滤 HTTP 业务 流 。 又 如 ,如 果 在 应 用 网 关 防 火 墙 上 
运行 了 FTP 和 HTTP 代理 ,只 有 这 两 种 服务 生成 的 数据 能 通过 防火 墙 ,所 有 其 他 的 服务 均 
被 阻挡 。 
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2) 应 用 级 网 关 防 火 墙 优 缺 点 

应 用 级 网 关 防 火 墙 的 优点 是 : 可 以 保存 关于 连接 及 应 用 的 详细 信息 ,在 应 用 层 实现 复 
杂 的 访问 控制 ; 不 允许 内 部 网 络 主机 和 外 部 网 络 服务 器 之 间 的 直接 连接 ,可 隐藏 内 部 地 址 ， 
安全 性 高 ; 可 以 产生 丰富 的 审计 记录 ,便于 系统 管理 员 进 行 分 析 。 

应 用 级 网 关 防 火 墙 的 缺点 是 : 代理 服务 可 能 引入 不 可 忽略 的 处 理 延 时 ,进入 的 分 组 需 
被 处 理 两 次 (应 用 程序 和 其 代理 ) ,这 样 可 能 会 成 为 网 络 的 瓶颈 ; 对 不 同 的 应 用 服务 需要 编 
写 不 同 的 代理 程序 ,适应 性 差 ,而 且 无 法 提供 基于 UDP 或 其 他 协议 的 代理 程序 ; 用 户 配置 
较为 复杂 ,增加 了 系统 管理 的 工作 量 。 

2. 电路 级 网 关 防 火 墙 

1) 电路 级 网 关 防 火 墙 工作 原理 

电路 级 网 关 又 称 为 线路 级 网 关 , 工 作 在 会 话 层 , 是 一 个 通用 代理 服务 器 。 它 适应 于 多 个 
协议 ,但 不 需要 识别 在 同一 个 协议 栈 上 运行 的 不 同 应 用 ,当然 也 就 不 需要 对 不 同 的 应 用 设置 
不 同 的 代理 模块 。 它 在 两 个 主机 首次 建立 TCP 连接 时 创立 一 个 电子 屏障 ,作为 服务 器 接收 
外 来 请 求 , 转 发 请 求 ; 与 被 保护 的 主机 连接 时 则 担当 客户 机 角色 ,起 代理 服务 的 作用 。 它 监 
视 两 主机 建立 连接 时 的 握手 信息 ,如 SYN/ACK 和 序列 数据 等 是 否 符合 迎 辑 ,判定 该 会 话 
请 求 是 否 合法 。 一 个 会 话 建立 后 ,此 会 话 的 信息 被 写 人 防火 墙 维护 的 有 效 连 接 表 中 。 数 据 
报 只 有 在 它 所 含 的 会 话 信息 符合 该 有 效 连接 表 中 的 某 一 入口 时 , 才 被 允许 通过 。 会 话 结束 
时 ,该 会 话 在 表 中 的 人 口 被 删 掉 。 电 路 级 网 关 只 对 会 话 层 上 的 连接 进行 验证 。 一 旦 验证 通 
过 ,在 该 连接 上 可 以 运行 任何 一 个 应 用 程序 ,如 图 6-6 所 示 。 
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图 6-6 电路 级 网 关 防 火 墙 工作 原理 示意 图 


电路 级 网 关 不 允许 进行 端点 到 端点 的 TCP 连接 ,而 是 建立 两 个 TCP 连接 。 一 个 在 网 
关 和 内 部 主机 上 的 TCP 用 户 程序 之 间 , 另 一 个 在 网 关 和 外 部 主机 的 TCP 用 户 程序 之 间 。 
一 旦 建立 两 个 连接 ,网 关 通 常 是 把 TCP 数据 报 从 一 个 连接 转送 到 另 一 个 连接 中 去 而 不 检验 
其 中 的 内 容 , 其 安全 功能 就 是 确定 哪些 连接 是 允许 的 。 电 路 级 网 关 并 非 作 为 一 个 独立 的 产 
品 存在 , 它 与 其 他 的 应 用 层 网 关 结 合 在 一 起 。 另 外 ,电路 级 网 关 还 提供 一 个 重要 的 安全 功 
能 一 一 代理 服务 器 。 在 代理 服务 器 上 运行 “地 址 转换 ”功能 ,将 所 有 内 部 的 IP 地 址 映射 到 一 
个 “安全 "的 IP 地 址 ,这 个 地 址 是 防火 墙 使 用 的 地 址 。 所 以 对 于 外 部 网 络 , 代 理 服 务 器 相当 
于 内 部 网 络 的 一 台 服 务 器 ,而 实际 上 它 只 是 内 部 网 络 的 一 台 过 滤 设 备 。 代 理 服务 器 的 安全 
性 除了 表现 在 它 可 以 隔断 内 部 和 外 部 网 络 的 直接 连接 ,还 表现 在 它 可 以 防止 外 部 网 络 发 现 
内 部 网 络 的 地 址 。 

2) 电路 级 网 关 防 火 墙 优 缺点 

电路 级 网 关 防 火 墙 的 优点 是 : 在 OSI 上 实现 的 层次 较 高 ,可 以 对 更 多 的 元 素 进行 过 滤 ， 
同时 还 提供 认证 功能 ,安全 性 比 静 态 包 过 滤 防 火 墙 高 ; 不 需要 对 不 同 的 应 用 设置 不 同 的 代 
理 模 块 , 比 应 用 层 网 关 防 火 墙 具有 优势 ; 切断 了 外 部 网 络 到 防火 墙 后 面 服务 器 的 直接 连接 ， 


使 数据 报 不 能 在 服务 器 与 客户 机 之 间 直 接 流动 ,从 而 保护 了 内 部 网 络 主机 ; 可 以 提供 网 络 
地 址 映射 功能 。 

电路 级 网 关 防火 墙 的 缺点 是 : 无 法 进行 高 层 协 议 的 严格 安全 检查 ,如 无 法 对 数据 内 容 
进行 检测 ,以 抵御 应 用 层 的 攻击 ; 对 访问 限制 规则 的 测试 较为 困难 。 


6.5 防火墙 体系 结构 


防火 墙 的 目的 在 于 实现 安全 访问 控制 ,因此 按照 OSI 模型 的 安全 要 求 ,防火 墙 可 以 在 
OSI 7 层 中 的 5 层 设 置 。 防 火 墙 从 功能 上 分 , 通 


常 由 几 个 部 分 组 成 ,如 图 6-7 所 示 。 人 机 接口 
目前 ,防火 墙 的 体系 结构 一 般 有 以 下 几 种 : 访问 控制 策略 | 审计 | 安全 管理 | 数据 加 密 
(1) 双重 宿主 主机 体系 结构 ; 网 络 互联 设备 
(2) 屏蔽 主机 体系 结构 ; - 
(3) 屏 项 子 网 体系 结构 。 图 6-7 防火 墙 组 成 结构 图 


6.5.1 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 而 构建 的 ,该 主机 至 少 有 两 个 网 络 
接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ; 它 能 够 从 一 个 网 络 往 另 
一 个 网 络 发 送 IP 数据 报 。 然 而 实现 双重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 送 功能 。 
因此 ,IP 数据 报 并 不 是 从 一 个 网 络 (如 互联 网 ) 直 接 发 送 到 其 他 网 络 ( 如 内 部 的 、 被 保护 的 网 
络 )。 防 火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ,同时 防火 墙 外 部 的 系统 也 能 与 双重 宿主 主 
机 通信 ,但 是 这 些 系统 不 能 直接 互相 通信 ,它们 之 间 的 IP 通信 被 完全 阻止 。 

双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 ,双重 宿主 主机 位 于 外 部 系统 和 内 部 系 
统 之 间 , 并 且 被 连接 到 外 部 网 络 和 内 部 网 络 , 图 6-8 显示 了 这 种 体系 结构 。 


内 部 网 络 


内 部 主机 工作 站 工作 站 工作 站 
图 6-8 双重 宿主 主机 体系 结构 
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6.5.2 与 贰 主机 体系 结构 


双重 宿主 主机 体系 结构 是 由 一 台 同 时 连接 在 内 部 和 外 部 网 络 的 双重 宿主 主机 提供 安全 
保障 的 ,而 屏蔽 主机 体系 结构 则 不 同 ,在 屏蔽 主机 体系 结构 中 ,提供 安全 保护 的 主机 仅仅 与 
被 保护 的 内 部 网 络 相 连 。 屏 项 主机 体系 结构 还 使 用 一 个 单独 的 过 滤 路 由 器 来 提供 主要 安全 


保护 ,其 结构 如 图 6-9 所 示 。 


防火 墙 


内 部 网 络 


图 6-9 屏蔽 主机 体系 结构 


在 图 6-9 中 , 堡 爸 主机 位 于 内 部 的 网 络 上 ,是 外 部 网 络 上 的 主机 连接 到 内 部 网 络 上 的 系 
统 的 桥梁 。 即 使 这 样 ,也 仅 有 某 些 确定 类 型 的 连接 被 允许 ,任何 外 部 的 系统 试图 访问 内 部 的 
系统 或 者 服务 将 必须 连接 到 这 台 保 又 主机 上 。 因 此 保 驹 主机 需要 拥有 高 等 级 的 安全 。 数 据 
包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 到 外 部 网 络 。 在 该 结构 的 路 由 器 中 数据 包 过 滤 配 
置 可 以 按 下 列 方法 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 外 部 网 络 上 的 主机 连接 ( 即 允 许 那 些 已 经 由 
数据 包 过 滤 的 服务 ) 。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 。 用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 : 
某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 滤 ,而 其 他 服务 仅仅 可 以 被 允许 间接 地 经 过 代理 。 
这 完全 取决 于 用 户 实 行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 外 部 网 向 内 部 网 移动 ,所 以 , 它 的 设计 比 没有 外 部 数据 
包 能 到 达 内 部 网 络 的 双重 宿主 主机 体系 结构 似乎 更 冒 风险 。 但 实际 上 ,双重 宿主 主机 体系 
结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 网 络 时 ,也 容易 失败 (如 黑客 人 侵 ) 。 另 外 ,保护 路 由 
器 比 保护 主机 更 易 实现 ,因为 它 提供 非常 有 限 的 服务 组 。 在 多 数 情 况 下 ,被 屏蔽 的 主机 体系 
结构 能 提供 比 双重 宿主 主机 体系 结构 更 强 的 安全 性 和 可 用 性 。 


6.5.3 和 异 蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 添加 额外 的 安全 层 到 屏蔽 主机 体系 结构 , 即 通过 添加 周边 网 络 更 进 
一 步 地 把 内 部 网 络 与 因特网 隔离 开 。 


堡垒 主机 是 用 户 网 络 上 最 容易 被 攻击 的 计算 机 。 虽 然 用 户 尽 最 大 的 力气 去 保护 它 , 它 
仍 是 最 有 可 能 被 人 侵 的 计算 机 。 在 屏蔽 主机 体系 结构 中 ,堡垒 主机 一 旦 被 攻破 ,被 保护 的 内 
部 网 络 就 会 在 外 部 人 侵 者 面前 门户 洞开 ,因为 在 堡 侄 主机 与 内 部 网 络 的 其 他 内 部 计算 机 之 
间 没 有 其 他 的 防御 手段 。 如 果 有 人 成 功 地 人 侵 屏 项 主机 体系 结构 中 的 堡垒 主 机 , 那 就 等 于 
进入 了 内 部 系统 。 

通过 用 周边 网 络 隔离 堡 从 主 机 ,能 减少 堡垒 主 机 被 入 侵 造成 的 影响 。 即 它 只 给 入 侵 者 
一 些 访问 的 机 会 ,而 不 是 全 部 机 会 。 屏 蔽 子 网 体系 结构 的 最 简单 的 形式 为 两 个 屏蔽 路 由 器 ， 
每 一 个 都 连接 到 周边 网 。 一 个 位 于 周边 网 与 保护 的 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 与 外 
部 网 络 之 间 , 其 结构 如 图 6-10 所 示 。 


周边 网 络 
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图 6-10 屏蔽 子 网 体系 结构 


为 了 入 侵 用 屏蔽 子 网 体系 结构 保护 的 内 部 网 络 , 入 侵 者 必须 通过 两 个 路 由 器 。 即 使 人 
侵 者 设法 侵入 了 堡垒 主机 ,他 仍然 必须 通过 内 部 路 由 器 。 

下 面 介绍 在 这 种 结构 里 所 采用 的 组 件 。 

1. 周边 网 络 

周边 网 络 是 另 一 个 安全 层 , 是 在 外 部 网 络 与 被 保护 的 内 部 网 络 之 间 附 加 的 网 络 。 如 果 
入 侵 者 成 功 地 人 侵 用 户 的 防火 墙 的 外 层 领域 ,周边 网 络 在 那个 人 侵 者 与 用 户 的 内 部 系统 之 
间 提 供 一 个 附加 的 保护 层 。 

2. 堡垒 主机 

在 屏蔽 子 网 体系 结构 中 ,用 户 把 堡垒 主机 连接 到 周边 网 络 ,这 台 主 机 便 是 接受 来 自 外 界 
连接 的 主要 入 口 。 它 为 内 部 网 络 提供 的 服务 如 下 。 

(1) 接收 外 来 的 电子 邮件 ,再 分 发 给 相应 的 站 点 。 

(2) 接收 外 来 的 FTP 连接 ,再 转 接 到 内 部 网 络 的 匿名 FTP 服务 器 。 

(3) 接收 外 来 的 对 有 关内 部 网 络 站 点 的 域名 服务 查询 。 

另 一 方面 ,这 台 堡 牺 主 机 向 外 部 网 络 提供 的 服务 通过 以 下 方法 实施 。 


防火 乎 技术 
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(1) 在 外 部 和 内 部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服 
务 器 。 

(2) 设置 代理 服务 器 在 堡垒 主机 上 运行 ,允许 内 部 网 络 的 用 户 间 接地 访问 外 部 网 络 的 
服务 器 。 也 可 以 设置 数据 包 过 滤 ,允许 内 部 网 络 的 用 户 与 堡垒 主机 上 的 代理 服务 器 进行 交 
互 , 但 是 禁止 内 部 网 络 的 用 户 直接 与 外 部 网 络 进行 通信 。 

3. 内 部 路 由 器 

内 部 路 由 器 (阻塞 路 由 器 ) 保 护 内 部 的 网 络 使 之 免 受 外 部 网 络 和 周边 网 络 的 侵犯 。 内 部 
路 由 器 完成 防火 墙 的 大 部 分 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 络 到 外 部 网 络 的 有 选择 的 外 
连 服务 。 这 些 服务 是 根据 内 部 网 络 的 需要 和 安全 规则 选 定 的 ,如 telnet、FTP 等 。 内 部 路 由 
器 可 以 设 定 ,使 周边 网 络 上 的 堡 人 主机 与 内 部 网 络 之 间 传 递 的 各 种 服务 不 同 于 内 部 网 络 和 
外 部 网 络 之 间 传 递 的 各 种 服务 。 限 制 堡垒 主机 和 内 部 网 络 之 间 服 务 的 理由 是 减少 由 此 而 导 
致 的 受到 来 自 堡垒 主 机 侵袭 的 机 器 数量 。 

4. 外 部 路 由 器 

在 理论 上 ,外 部 路 由 器 (访问 路 由 器 ?保护 周边 网 络 和 内 部 网 络 ,使 之 免 受 来 自 外 部 网 络 
的 入 侵 。 实 际 上 ,外 部 路 由 器 倾向 于 几乎 让 所 有 周边 网 络 的 外 出 请 求 通 过 ,通常 只 执行 非常 
少 的 数据 包 过 滤 。 保 护 内 部 计算 机 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 一 
致 ,如 果 在 规则 中 有 人 允许 人 侵 者 访问 的 错误 ,错误 就 可 能 出 现在 两 个 路 由 器 上 。 

由 于 外 部 路 由 器 一 般 由 外 界 提 供 , 如 用 户 的 互联 网 服务 提供 商 ISP, 所 以 用 户 对 外 部 路 
由 器 的 访问 是 受 限 制 的 。ISP 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ,但 
是 不 愿意 使 用 维护 复杂 或 者 频繁 变化 的 过 滤 规 则 。 因 此 对 于 安全 保障 而 言 ,不 能 像 依靠 内 
部 路 由 器 那样 依靠 外 部 路 由 器 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 是 : 阻 断 从 外 部 网 络 上 伪造 源 地 址 进来 的 任何 数 
据 包 。 这 样 的 数据 包 自 称 来 自 内 部 网 络 , 但 实际 上 是 来 自 外 部 网 络 。 


6.6 ”防火 墙 选择 原则 


当 我 们 在 规划 网 络 时 ,不 能 不 考虑 整体 网 络 的 安全 性 。 而 谈 到 网 络 安全 ,就 不 能 忽略 防 
火 墙 的 功能 ,防火 墙 产品 有 上 千 种 ,如 何在 其 中 选择 最 符合 需要 的 产品 ,是 消费 者 最 关心 的 
事 。 一 个 好 的 防火 墙 必须 具备 以 下 特点 。 

1. 是 一 个 整体 网 络 的 保护 者 

好 的 防火 墙 应 该 以 整体 网 络 保护 者 自居 , 它 所 保护 的 对 象 应 该 是 全 网 而 不 仅 是 那些 通 
过 防火 墙 的 使 用 者 。 

2. 能 弥补 其 他 操作 系统 的 不 足 

好 的 防火 墙 必须 是 建立 在 操作 系统 之 间 而 不 是 在 操作 系统 之 后 ,所 以 操作 系统 有 些 漏 
洞 并 不 会 影响 到 其 所 提供 的 安全 性 。 由 于 硬件 平台 的 普及 以 及 执行 效率 的 因素 ,大 部 分 企 
业经 常 把 对 外 提供 各 种 服务 的 服务 器 分 散在 许多 操作 系统 平台 上 ,我 们 在 无 法 保证 所 有 主 
机 安全 的 情况 下 ,选择 防火 墙 作为 整体 安全 的 保护 者 。 这 正 说 明了 操作 系统 提供 B 级 或 是 
C 级 的 安全 并 不 一 定 会 直接 对 整体 安全 造成 影响 ,是 因为 一 个 好 的 防火 墙 必须 能 弥补 操作 
系统 的 不 足 。 


3. 为 使 用 者 提供 不 同 平台 的 选择 

由 于 防火 墙 并 非 完全 由 硬件 构成 ,因此 软件 (操作 系统 ) 所 提供 的 功能 以 及 执行 效率 一 
定 会 影响 到 整体 的 表现 ,而 使 用 者 的 操作 意愿 及 对 防火 墙 软件 的 熟悉 程度 也 是 必须 考虑 的 
重点 。 一 个 好 的 防火 墙 不 但 本 身 要 有 和 良好 的 执行 效率 ,也 应 该 提供 多 平台 的 执行 方式 供 使 
用 者 选择 ,毕竟 使 用 者 才 是 安全 的 控制 者 。 使 用 者 应 该 选择 一 套 符合 当前 环境 需求 的 软件 ， 
而 不 应 为 了 软件 的 限制 而 改变 现 有 环境 。 

4. 能 向 使 用 者 提供 完善 的 售后 服务 

由 于 有 新 产品 的 出 现 ,就 会 有 人 研究 新 的 破解 方法 ,因此 一 个 好 的 防火 墙 提供 者 必须 有 
一 个 庞大 的 组 织 作 为 使 用 者 的 安全 后 盾 , 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防火 墙 做 
见证 。 防 火 墙 安装 和 投入 使 用 后 ,并 非 万 事 大 吉 , 要 想 充分 发 挥 它 的 安全 防护 作用 ,必须 对 
它 进行 跟踪 和 维护 ,这 就 需要 与 商家 保持 密切 的 联系 ,时 刻 关注 商家 的 动态 。 因 为 商家 一 旦 
发 现 其 产品 存在 安全 漏洞 ,就 会 尽快 发 布 补救 产品 ,此 时 用 户 应 尽快 确认 其 真 伪 ( 防 止 特 洛 
伊 木 马 等 病毒 ) ,并 对 防火 墙 软件 进行 更 新 。 

5. 提供 完整 的 安全 检查 功能 

好 的 防火 墙 应 该 向 使 用 者 提供 完整 的 安全 检查 功能 ,但 是 一 个 安全 的 网 络 仍 必须 依靠 
使 用 者 的 观察 及 改进 。 

6. 能 实现 IP 转换 

IP 转换 能 隐藏 内 部 网 络 真正 的 IP, 使 入 侵 者 无 法 直接 入 侵 内 部 网 络 ,另外 节省 的 IP 作 
为 内 部 使 用 。 

7. 有 双重 DNS 

当 内 部 网 络 使 用 没有 注册 的 IP 地 址 或 是 防火 墙 进行 IP 转换 时 ,DNS 也 必须 经 过 转 
换 , 同 样 一 个 主机 在 内 部 的 IP 与 给 予 外 界 的 IP 将 会 不 同 ,所 以 双重 DNS 防火 墙 是 很 必 
要 的 。 

8. 具有 查 杀 的 功能 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 ,实现 查 杀 病毒 功能 ,有 的 防火 墙 甚至 可 以 直 
接 集成 扫 毒 功能 和 杀毒 功能 。 


6.7 某 企业 销售 系统 中 防火 墙 建立 实例 


1. 企业 需求 分 析 

假设 某 企业 设 有 人 事 部 、 生 产 部 、 计 划 部 ,市 场 部 、 采 购 部 。 

2. 防火 墙 系统 设计 方案 

1) 方案 一 

如 图 6-11 所 示 ,该 系统 由 于 Web 服务 器 在 防火 墙 之 外 ,可 以 满足 企业 建立 主页 以 宣传 
企业 形象 ,企业 内 部 信息 交流 和 保护 内 部 网 络 安全 等 基本 要 求 , 因 此 对 于 内 部 数据 安全 要 求 
不 高 的 小 型 企业 ,此 方案 是 适合 的 。 

但 是 ,一 旦 黑客 攻破 了 防火 墙 ,整个 内 部 网 络 就 处 在 完全 暴露 的 状态 。 而 且 , 在 外 地 的 
销售 人 员 或 市 场 分 部 与 本 部 的 联系 易 造 成 安全 漏洞 ,内 部 的 敏感 数据 只 有 依靠 口令 .加 密 和 
授权 来 管理 保护 。 
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图 6-11 防火 墙 系统 实例 方案 一 


2) 方案 二 

如 图 6-12 所 示 ,Web 服务 器 放 在 防火 墙 之 内 ,有 利于 企业 对 Web 服务 器 上 的 企业 主页 
进行 管理 和 维护 。 而 且 , 外 部 用 户 访问 它 时 必须 通过 防火 墙 ,可 防止 大 量 的 非法 入 侵 ,外 部 
用 户 访问 内 部 网 络 时 ,还 需 再 经 过 访问 服务 器 的 过 滤 ,进一步 加 强 了 安全 性 。 同 时 内 部 用 户 
访问 因特网 受到 限制 ,如 只 允许 E-mail 通过 。 
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图 6-12 防火墙 系 统 实例 方案 二 


3) 方案 三 

如 图 6-13 所 示 ,在 前 面 的 两 个 方案 中 ,都 没有 考虑 企业 内 部 数据 的 保护 问题 。 实 际 上 ， 
各 个 部 门 之 间 有 些 数据 是 相互 公开 的 ,而 有 些 数据 只 能 提供 本 部 门 或 部 门 内 的 少数 人 使 用 ， 
例如 采购 部 的 数据 。 所 以 ,为 了 防止 来 自 内 部 的 攻击 ,需要 对 内 部 网 络 使 用 防火 墙 隔离 ,这 
样 就 可 以 构建 比较 完整 的 防火 墙 安全 系统 。 


图 6-13 防火墙 系统 实例 方案 三 


6.8 防火墙 配置 


6.8.1 PIX 防火墙 配置 


PIX 是 Cisco 的 硬件 防火 墙 ,硬件 防火 墙 有 工作 速度 快 、 使 用 方便 等 特点 。 配 置 PIX 防 
火 墙 有 6 个 基本 命令 : nameif、interface、ip address、nat、global、route。 这 些 命令 在 配置 
PIX 是 必需 的 。 

1. 配置 防火 墙 接口 的 名 字 ,并 指定 安全 级 别 (nameif) 

Pix525(config) # nameif ethernet0 outside security0 

Pix525(config) #nameif ethernetl inside security100 

说 明 : 在 默认 配置 中 ,以 太 网 0 被 命名 为 外 部 接口 (outside) ,安全 级 别 是 0; 以 太 网 1 
被 命名 为 内 部 接口 (inside) ,安全 级 别 是 100。 安 全 级 别 取 值 范围 为 1 一 100, 数 字 越 大 安全 
级 别 越 高 。 若 设置 ethernet2 为 中 间接 口 dmz, 安 全 级 别 为 50, 配 置 命令 如 下 : 


Pix525(config) # nameif ethernet2 dmz security50 
2. 配置 以 太 口 参数 (interface) 


Pix525(config) # interface ethernet0 auto 

Pix525(config) # interface ethernetl 100full 

Pix525(config) # interface ethernetl 100full shutdown 

说 明 : auto 选项 表明 系统 自 适应 网 卡 类 型 。100full 选项 表示 100Mb/s 以 太 网 全 双 工 
通信 。shutdown 选项 表示 关闭 这 个 接口 ,车 启用 接口 去 掉 shutdown。 

3. 配置 内 外 网 卡 的 IP 地 址 (ip address) 

Pix525(config) # ip address outside 64.124.50.13 255.255.255.248 

Pix525(config) # ip address inside 192.168.1.1 255.255.255.0 

说 明 : Pix525 防火 墙 在 外 网 的 IP 地 址 是 64. 124. 50. 13 ,内 网 IP 地 址 是 192. 168. 1. 1 。 

4. 指定 要 进行 转换 的 内 部 地 址 (nat) 

网 络 地 址 转换 (nat) 作 用 是 将 内 网 的 私有 IP 转换 为 外 网 的 公有 IP。nat 命令 总 是 与 
global 命令 一 起 使 用 ,这 是 因为 nat 命令 可 以 指定 一 台 主 机 或 一 段 范围 的 主机 访问 外 网 , 访 
问 外 网 时 需要 利用 global 所 指定 的 地 址 池 进 行 对 外 访问 。nat 命令 配置 语法 格式 如 下 : 

nat (if name) nat_id local_ip [netmark] 

其 中 (Gif_name) 表 示 内 网 接口 名 字 , 例 如 inside。nat_id 用 来 标识 全 局 地 址 池 ,使 它 与 其 
相应 的 global 命令 相 匹 配 ,local_ip 表示 内 网 被 分 配 的 IP 地址。 例如 0. 0. 0. 0 表示 内 网 所 
有 主机 可 以 对 外 访问 。[netmarkj] 表 示 内 网 IP 地 址 的 子 网 掩 码 。 

例 1: Pix525(config)#nat (inside) 1 0 0 

说 明 : 表示 启用 nat, 内 网 的 所 有 主机 都 可 以 访问 外 网 ,用 0 可 以 代表 0. 0.0.0 

例 2: Pix525(config)#nat (inside) 1 172. 16. 5.0 255. 255. 0. 0 

说 明 : 表示 只 有 172. 16. 5. 0 这 个 网 段 内 的 主机 可 以 访问 外 网 。 


防火 乎 技术 


才 加 典 


网 络 安 会 基础 


5. 指定 外 部 地 址 范围 (global) 
global 命令 把 内 网 的 IP 地 址 翻译 成 外 网 的 IP 地 址 或 一 段 地 址 范围 。global 命令 的 配 
置 语法 格式 如 下 : 


global (if name) nat_id ip_address - ip address [netmark global mask] 


其 中 (Gif_name) 表 示 外 网 接口 名 字 , 例 如 outside。nat_id 用 来 标识 全 局 地 址 池 ,使 它 与 
其 相应 的 nat 命令 相 匹 配 ,ip_address-ip_address 表示 翻译 后 的 单个 IP 地 址 或 一 段 IP 地 址 
范围 。[netmark global_maskj] 表 示 全 局 IP 地 址 的 网 络 掩 码 。 

例 3: Pix525(config)# global (outside) 1 64. 124. 50. 13-64. 124. 50. 18 

说 明 : 表示 内 网 的 主机 通过 PIX 防火 墙 要 访问 外 网 时 ,PIX 防火 墙 将 使 用 64. 124. 50. 13 一 
64. 124. 50. 18 这 段 IP 地 址 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 IP 地 址 。 

例 4: Pix525(config)# global (outside) 1 64. 124. 50. 13 

说 明 : 表示 内 网 要 访问 外 网 时 ,PIX 防火 墙 将 为 访问 外 网 的 所 有 主机 统一 使 用 64. 124. 50. 13 
这 个 单一 IP 地 址 。 

例 5: Pix525(config)#no global (outside) 1 64. 124. 50. 13 

说 明 : 表示 删除 这 个 全 局 表 项 。 

6. 设置 指向 内 网 和 外 网 的 静态 路 由 (route) 

定义 一 条 静态 路 由 。route 命令 配置 语法 格式 如 下 : 


route (if_name) 0 0 gateway_ip [metric] 


其 中 Gif_name) 表 示 接 口 名 字 , 例 如 inside 和 outside。gateway_ip 表示 网 关 路 由 器 的 
IP 地 址 。[metric] 表 示 到 gateway_ip 的 跳 数 。 通 常 默认 是 1。 

例 6: Pix525(config)#route outside 0 0 61. 144. 51. 168 1 

说 明 : 表示 一 条 指向 边界 路 由 器 (IP 地 址 61. 144. 51. 168) 的 默认 路 由 。 

例 7: Pix525(config)#route inside 10. 1.1.0 255.255.255.0 172.16.1.11 

说 明 : 如 果 内 部 网 络 只 有 一 个 网 段 ,按照 例 1 那样 设置 一 条 默认 路 由 即 可 ; 如 果 内 部 存在 
多 个 网 络 ,需要 配置 一 条 以 上 的 静态 路 由 。 上 面 那 条 命令 表示 创建 了 一 条 到 网 络 10. 1. 1.0 
的 静态 路 由 ,静态 路 由 的 下 一 条 路 由 器 IP 地 址 是 172. 16. 1. 1 


6.8.2 VRP3 防火 墙 配置 


通用 路 由 平台 (Versatile Router Platform,VRP) 是 华为 公司 数据 通信 产品 的 通用 网 络 
操作 系统 平台 , 它 实 现 了 OSPF、BGP、RIP、EIGRP 等 多 种 单 播 和 多 播 路 由 协议 ,支持 路 由 
迭代 、 路 由 策略 和 路 由 聚合 等 丰富 的 路 由 特性 ,VRP 中 的 防火 墙 主要 是 指 基于 访问 控制 列 
表 (ACL) 的 包 过 滤 、 基 于 应 用 层 的 包 过 滤 防 火 墙 ASPF 和 地 址 转换 。 

1. ACL 包 过 滤 防 火 墙 配 置 

ACL 包 过 滤 应 用 在 路 由 器 中 ,为 路 由 器 增加 了 对 数据 包 的 过 滤 功 能 。ACL 包 过 滤 实 
现 对 IP 数据 报 的 过 滤 ,对 路 由 器 需要 转发 的 数据 包 , 先 获取 数据 包 的 包头 信息 ,包括 IP 层 
所 承载 的 上 层 协 议 的 协议 号 ,数据 包 的 源 地 址 、 目 的 地 址 、 源 端口 和 目的 端口 等 ,然后 和 设 定 
ACL 规则 进行 比较 ,根据 比较 的 结果 决定 对 数据 包 进 行 转发 或 者 丢弃 。ACL 包 过 滤 提 供 
了 对 分 片 报 文 检测 过 滤 的 支持 。 包 过 滤 防 火 墙 将 检测 报 文 类 型 分 为 非 分 片 报 文 . 首 片 分 片 


报 文 和 非 首 片 分 片 报 文 。 获 得 报 文 的 三 层 (IP 层 ) 信 息 ( 基 本 ACL 规则 和 不 含 三 层 以 外 信 
息 的 高 级 ACL 规则 ) 及 三 层 以 外 的 信息 (包含 三 层 以 外 信息 的 高 级 ACL 规则 ) 用 于 匹配 ， 
并 获得 配置 的 ACL 规则 。 对 于 配置 了 精确 匹配 过 滤 方 式 的 高 级 ACL 规则 , 包 过 滤 防 火 墙 
需要 记录 每 一 个 首 片 分 片 的 三 层 以 外 的 信息 , 当 后 续 分 片 到 达 时 ,使 用 这 些 保存 的 信息 对 
ACL 规则 的 每 一 个 匹配 条 件 进 行 精确 匹配 。 应 用 精确 匹配 过 滤 后 , 包 过 滤 防 火 墙 的 执行 效 
率 会 略微 降低 ,配置 的 匹配 项 目 越 多 ,效率 降低 越 多 ,可 以 配置 门限 值 为 限制 防火 墙 最 大 处 
理 的 数目 。 

ACL 包 过 滤 防 火 墙 主要 需要 配置 步 又 如 下 。 

(1) 允许 或 禁止 防火 墙 。 在 系统 视图 输入 操作 命令 : 


firewall enable 


如 果 是 禁止 防火 墙 ,输入 undo firewall enable。 系 统 默认 情况 下 禁止 防火 墙 。 
(2) 设置 防火 墙 默认 过 滤 方 式 。 在 系统 视图 输入 操作 命令 : 


firewall default permit 


如 果 设 置 默认 过 滤 方 式 为 禁止 通过 ,输入 firewall default deny。 在 防火 墙 开启 时 ,系统 
默认 允许 。 
(3) 设置 包 过 滤 防 火 墙 分 片 报 文 检测 开关 。 在 系统 视图 中 输入 操作 命令 ; 


firewall fragments — inspect 


如 果 需 要 关闭 分 片 报 文 检测 开关 ,输入 undo firewall fragments-inspect。 注 意 , 只 有 打 
开 了 分 片 报 文 检 测 开关 ,精确 匹配 模式 才能 真正 有 效 。 
(4) 配置 分 片 报 文 检测 的 上 、 下 门限 值 ,在 系统 视图 输入 操作 命令 : 


firewall fragments — inspect{high | low}{default | number} 


如 果 恢 复 上 限 分 片 状态 记录 数目 为 默认 值 ,输入 undo firewall fragments-inspect{high | 
low}。 注 意 : 默认 的 上 限 分 片 状态 记录 数目 为 2000, 下 限 分 片 状 态 记录 数目 为 1500。 

(5) 在 接口 上 应 用 访问 控制 列表 ,在 接口 视图 输入 操作 命令 : 

firewall packet - filter { acl - number | acl - name} {inbound | outbound} [match - fragments 

{normally | exactly}] 

如 果 取 消 接口 上 过 滤 接 收报 文 的 规则 ,输入 undo firewall packet-filter{acl-number | 
acl-name} {inbound | outbound)}。 

(6) 包 过 滤 防 火 墙 显示 与 调试 。 

在 完成 上 述 配置 后 ,在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 包 过 滤 防 火 墙 的 运行 
情况 ,通过 查看 显示 信息 验证 配置 的 效果 。 执 行 如 下 debugging 命令 可 以 对 包 过 滤 防 火 墙 

display firewall - statistics {all | interface interface - name | fragments - inspect} 

井 显示 接口 的 有 关 防 火 墙 的 统计 信息 


debugging firewall { all | icmp | tcp | udp | others}[interface interface — name] 
# 打 开 防火 墙 包 过 滤 调 试 信息 开关 
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undo debugging firewall { all | icmp| tcp | udp | others}[interface interface - name] 
井 关 闭 防火 墙 包 过 滤 调 试 信息 开关 


2. 防火 墙 配置 实例 

下 面 通 过 一 个 公司 配置 防火 墙 的 实例 来 说 明 防火 墙 的 配置 。 

该 公司 通过 一 台 Quidway 路 由 器 的 接口 Seriall/0/0 访问 因特网 ,路 由 器 与 内 部 网 通 
过 以 太 网 接口 Ethernet0/0/0 连接 。 公 司 内 部 对 外 提供 WWW、FTP 和 telnet 服务 ,公司 内 
部 子 网 为 126. 45. 8. 0, 其 中 ,内 部 FTP 服务 器 地 址 为 126. 45. 8. 1 ,内 部 telnet 服务 器 地 址 
为 126. 45. 8. 2 ,内 部 WWW 服务 器 地 址 为 126. 45. 8. 3 ,公司 对 外 地 址 为 202. 32. 1. 1。 在 路 
由 器 配置 了 地 址 转换 ,这 样 内 部 主机 可 以 访问 因特网 ,外 部 主机 可 以 访问 内 部 服务 器 。 通 过 
配置 防火 墙 ,希望 实现 以 下 要 求 : 

(1) 外 部 网 络 只 有 特定 用 户 可 以 访问 内 部 服务 器 。 

(2) 内 部 网 络 只 有 特定 主机 可 以 访问 外 部 网 络 。 

(3) 假定 外 部 特定 用 户 的 IP 地 址 为 202. 33. 3. 2。 

具体 的 配置 步骤 如 下 所 示 。 


# 在 路 由 器 Quidway 上 允许 防火 墙 

Quidway] firewall enable 

# 设 置 防火 墙 默认 过 滤 方 式 为 允许 包 通 过 

Quidway] firewall default permit 

# 创 建 访问 控制 列表 101 

Quidway] acl number 101 

# 配置 规 则 禁止 所 有 IP 包 通 过 

Quidway — acl- adv- 101] rule deny ip 

# 配 置 规则 允许 特定 主机 访问 外 部 网 , 允许 内 部 服务 器 访问 外 部 网 
Quidway — acl ~ adv- 101] rule permit ip source 126.45.8.1 0 
Quidway- acl- adv- 101] rule permit ip source 126.45.8.2 0 
Quidway- acl- adv- 101] rule permit ip source 126.45.8.3 0 

# 创建 访问 控制 列表 

Quidway] acl number 102 

# 配 置 规则 允许 特定 用 户 从 外 部 网 访问 内 部 服务 器 

Quidway- acl ~ adv- 102] rule permit tcp source 202.33.3.2 0 destination 202.32.1.10 
# 配 置 规则 允许 特定 用 户 从 外 部 网 取得 数据 (只 允许 端口 大 于 1024 包 ) 
Quidway -acl ~- adv- 102] rule permit tcp destination 202.32.1.10 0 destination~ port gt 1024 
# 将 规则 101 作用 于 从 接口 Ethernet0/0/0 进入 的 包 

Quidway - Ethernet0/0/0] firewall packet - filter 101 inbound 

# 将 规则 102 作用 于 从 接口 Serial1/0/0 进入 的 包 

Quidway - Seriall/0/0] firewall packet — filter 102 inbound 


3. ASPF 配置 

ASPF(Application Specific Packet Filter) 是 针对 应 用 层 的 包 过 滤 , 即 基于 状态 的 报 文 
过 滤 。 它 和 普通 的 静态 防火 墙 协同 工作 ,以 便于 实施 内 部 网 络 的 安全 策略 。ASPF 能 够 检 
测试 图 通过 防火 墙 的 应 用 层 协议 会 话 信息 ,阻止 不 符合 规则 的 数据 报 文通 过 。 为 保护 网 络 
安全 ,基于 访问 控制 列表 的 包 过 滤 可 以 在 网 络 层 和 传输 层 检 测 数据 包 , 防 止 非法 入 侵 。 
ASPF 能 够 检测 应 用 层 协议 的 信息 ,并 对 应 用 的 流量 进行 监控 ,同时 能 针对 DoS 进行 检测 和 
防范 ,使 用 Java Blocking(Java 阻 断 ) 来 保护 网 络 不 受 有 害 的 Java Appets 的 破坏 。 它 还 支 


持 端口 到 应 用 的 映射 ,用 于 应 用 层 协议 提供 的 服务 使 用 非 通用 端口 时 的 情况 。 它 增强 了 会 
话 日 志 功能 ,可 以 对 所 有 的 连接 进行 记录 ,包括 记录 连接 的 时 间 、 源 地 址 .目的 地 址 、 使 用 的 
端口 和 传输 的 字 节 数 。ASPF 对 应 用 层 的 协议 信息 进行 检测 ,并 维护 会 话 的 状态 ,检查 会 话 
的 报 文 的 协议 和 端口 号 等 信息 ,阻止 恶意 的 入 侵 。ASPF 能 对 如 下 协议 的 流量 进行 监测 : 
FTP.HTTP.SMTP.\RSTP.H. 323.TCP 和 UDP。 

ASPF 配置 中 需要 允许 防火 墙 使 用 ,同时 配置 访问 控制 列表 ,然后 定义 一 个 ASPF 策 
略 , 最 后 在 选 定 的 接口 上 应 用 。 

下 面 介绍 如 何 定义 一 个 ASPF 策略 。 

(1) 创建 一 个 ASPF 策略 ,在 系统 视图 下 操作 命令 : 


aspf ~ policy aspf ~ policy ~ number 


如 果 删 除 创 建 一 个 ASPF 策略 ,输入 undo aspf-policy aspf-policy-number, 其 中 aspf- 
policy-number 为 ASPF 策略 号 ,范围 为 1 一 99 。 
(2) 配置 空闲 超时 值 ,在 系统 视图 下 操作 命令 : 


aging 一 time{fsyn | fin | tcp | udpjseconds 


如 果 恢 复 默认 的 空闲 超时 值 ,输入 undo aging-time{fsyn | fin | tcp | udp}。 

该 任务 用 来 配置 TCP 的 SYN 状态 等 待 超时 值 FIM 状态 等 待 超时 值 ,TCP 和 UDP 会 话 
表 项 空闲 状态 超时 值 。 默 认 情 况 下 synfin、\tcp、udp 的 超时 时 间 分 别 为 30s、5s、3600s 和 30s。 

(3) 配置 应 用 层 协 议 检 测 ,在 系统 视图 下 操作 命令 : 


detect protocol [aging- time seconds] 


如 果 要 删除 配置 的 应 用 协议 检测 ,输入 undo detect protocol。 
应 用 层 协议 protocol 可 取 值 ftp、smtp、http。 在 protocol 选择 http 时 ,可 以 配置 Java 
阻 断 ,在 系统 视图 下 操作 命令 ， 


detect http{java— list acl - number}[aging ~ time seconds] 


如 果 取 消 对 HTTP 的 检测 规则 ,输入 undo detect http。 
(4) 配置 一 般 TCP 和 UDP 检测 ,在 ASPF 策略 视图 下 操作 命令 : 


# 配 置 通用 TCP 协议 检测 

detect tcp [aging ~ time seconds] 
# 配置 通用 UDP 协议 检测 

detect udp[aging - time seconds] 
# 删除 通用 TcP 协议 检测 

undo detect tcp 

# 删 除 通 用 UDP 协议 检测 

undo detect udp 


(5) 在 接口 上 应 用 ,在 接口 视图 下 .输入 如 下 命令 : 


firewall aspf aspf - policy — number{ inbound | outbound} 
如 果 删 除 该 接口 上 应 用 的 ASPF 策略 , 输入 undo firewall aspf aspf - policy - number{ inbound | 
outbound} 
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(6) ASPF 显示 与 调试 。 

在 完成 上 述 配置 后 ,在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 ASPF 的 运行 情况 ， 
通过 查看 显示 信息 验证 配置 的 效果 。 在 用 户 视图 下 执行 debugging 命令 查看 ASPF 调试 
信息 。 


显示 所 有 ASPF 配置 情况 

display aspf all 

# 显 示 应 用 ASPF 策略 和 访问 列表 的 接口 配置 

display aspf interface 

显示 一 个 特定 RSPF 策略 的 配置 

display aspf policy aspf - policy ~ number 

显示 ASPF 当前 会 话 状态 

display aspf session 

打开 ASPF 调试 开关 

debugging aspf{all | detail | events | ftp | http | rtsp | session | smtp | tcp | timer | udp} 
关闭 ASPF 调试 开关 

undo debugging aspf{all | detail | events | ftp | http | rtsp | session | smtp | tcp | timer | udp} 


4. ASPF 策略 配置 实例 

下 面 在 防火 墙 上 具体 配置 一 个 ASPF 策略 ,来 检测 通过 防火 墙 的 FTP 和 HTTP 流量 。 
如 果 该 报 文 是 内 部 网 络 用 户 发 起 的 FTP 和 HTTP 连接 的 返回 报 文 , 则 允许 其 通过 防火 墙 
进入 内 部 网 络 , 其 他 报 文 被 禁止 ; 并 且 , 此 ASPF 策略 能 够 过 滤 掉 来 自 服务 器 122. 35. 2. 1 
的 HTTP 报 文中 的 Java Applets。 本 例 可 以 应 用 在 本 地 用 户 需 要 访问 远程 网 络 服务 的 情 
况 下 。ASPF 配置 的 基本 步骤 如 下 : 

# 在 ASPF 路 由 器 上 配置 允许 防火 墙 
Quidway] firewall enable 
# 配 置 访问 控制 列表 111, 以 拒绝 所 有 TCP 和 UDP 流量 进入 内 部 网 络 , ASPF 会 为 允许 通过 的 流量 创建 
# 临 时 的 访问 控制 列表 
Quidway] acl number 111 
Quidway — acl — adv- 111] rule deny 
# 创 建 ASPF 策略 ,策略 号 为 1 ,该 策略 检测 应 用 层 的 两 个 协议 为 FTP 和 HTTP, 在 定 
义 没有 任何 行为 的 情况 下 ,这 两 个 协议 的 超时 时 间 为 3000s。 


Quidway] aspf ~ policy 1 

Quidway ~ aspf - policy— 1] detect ftp aging 一 time 3000 
Quidway — aspf - policy ~— 1] detect http aging ~ time 3000 
Quidway — aspf - policy— 1] detect http java— list 1 

# 配 置 访问 控制 列表 1, 以 过 滤 来 自 站 点 122.35.2.1 的 Java Applets 
Quidway] acl number 1 

Quidway- acl- basic - 1] rule deny source 122.35.2.1 0 
Quidway ~ acl ~ basic —1] rule permit any 

# 在 接口 上 应 用 ASPF 策略 

Quidway - Serial1l/0/0] firewall aspf 1 outbound 

井 在 接口 上 应 用 访问 控制 列表 111 

Quidway - Seriall1/0/0] firewall packet — filter 1 inbound 
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一 、 填空 题 


7 


. 防火 墙 按 软 硬 件 形式 分 类 可 以 分 为 软件 防火 墙 硬件 防 火 墙 和 (  ”)。 

. 包 过 滤 防 火 墙 工 作 在 OSI 参考 模型 的 网 络 层 和 (  ”)。 

. 防火 墙 最 简单 的 形式 是 (。”)。 

. 动态 包 过 滤 防 火 墙 又 称 为 ( ) , 它 是 在 静态 包 过 滤 防 火 墙 的 基础 上 发 展 而 


ee ) 必 须 为 特定 的 应 用 编写 特定 的 程序 ,这 些 程序 的 集合 称 为 代理 服务 。 
. 双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 计算 机 而 构建 的 ,该 计算 机 至 少 


) 个 网 络 接口 。 
在 屏蔽 子 网 体系 结构 中 ,用 户 把 ( ) 连 接 到 周边 网 ,这 台 主 机 便 是 与 外 界 连接 的 


主要 大 日 。 
二 、 选 择 题 


二 


某 公 司 申请 到 5 个 合法 IP 地 址 ,要 使 公司 的 20 台 主 机 都 能 联网 到 因特网 上 ,需要 


防火 墙 的 ( ) 技 术 。 


2. 


作为 ( 


A. 假冒 IP 地 址 的 侦 测 B. 网 络 地 址 转换 

C. 内 容 检查 D. 基于 地 址 的 身份 认证 

包 过 滤 依 据 包 的 源 地 址 、 目 的 地 址 ,传输 协议 来 确定 数据 包 的 转发 , 它 不 能 进行 的 操 
Ne 

A. 禁止 外 部 网 络 用 户 使 用 FTP 

B. 人 允许 所 有 用 户 使 用 HTTP 浏览 因特网 

C. 除了 管理 员 可 以 从 外 部 网 络 telnet 内 部 网 络 外 ,其 他 用 户 都 不 可 以 

D. 只 允许 某 台 计算 机 通过 NNTP 发 布 新 闻 


. 关于 规则 ,以 下 描述 错误 的 是 ( Ys 


A. 过 滤器 可 以 由 多 项 规则 组 成 

B. 根据 规则 顺序 逐 项 匹配 

C. 只 有 和 当前 规则 不 匹配 时 , 才 和 后 续 规 则 进行 匹配 操作 
D. 匹配 结果 与 过 滤器 中 的 规则 顺序 无 关 


. 下 面 关于 个 人 防火 墙 特点 的 说 法 中 ,错误 的 是 ( ”)。 


A. 个 人 防火 墙 可 以 抵挡 外 部 攻击 

B. 个 人 防火 墙 能 够 隐蔽 个 人 计算 机 的 IP 地 址 等 信息 

C. 个 人 防火 墙 既 可 以 对 单机 提供 保护 ,也 可 以 对 网 络 提供 保护 
D. 个 人 防火 墙 占用 一 定 的 系统 资源 


. 下 面 关于 防火 墙 的 描述 中 ,正确 的 是 (。 ”)。 


A. 防火 墙 不 会 降低 计算 机 网 络 系统 的 性 能 
B. 防火 墙 可 以 解决 来 自 内 部 网 络 的 攻击 


C. 防火 墙 可 以 阻止 感染 病毒 文件 的 传送 

D. 防火 墙 对 绕 过 防火 墙 的 访问 和 攻击 无 能 为 力 
6. 当 某 一 服务 器 需要 同时 为 内 网 用 户 和 外 网 用 户 提供 安全 可 靠 的 服务 时 ,该 服务 器 一 

般 置 于 防火 墙 的 ( 

A. 内 部 B. 外 部 

C. DMZ 区 D. 以 上 选项 都 可 以 
7. 下 面 关于 防火 墙 的 说 法 中 ,正确 的 是 ( Rs 

A. 防火 墙 可 以 解决 来 自 内 部 网 络 的 攻击 

B. 防火 墙 可 以 防止 受 病毒 感染 的 文件 传输 

C. 防火 墙 会 前 弱 计 算 机 网 络 系统 的 性 能 

D. 防火 墙 可 以 防止 错误 配置 引起 的 安全 威胁 
8. 包 过 滤 技 术 防 火 墙 在 过 滤 数 据 包 时 ,一 般 不 关心 ( )5 


A. 数据 包 的 源 地 址 B. 数据 包 的 目的 地 址 
C. 数据 包 的 协议 类 型 D. 数据 包 的 内 容 
9. 以 下 ( ) 不 属于 网 络 防火 墙 的 类 型 。 
A. 包 过 滤 路 由 器 B. 应 用 级 网 关 
C. 电路 级 网 关 D. 堡垒 主机 


10. 关于 防火 墙 ,以 下 描述 错误 的 是 ( Ya 
A. 不 能 防范 内 网 内 的 恶意 攻击 
B. 不 能 防范 针对 面向 连接 协议 的 攻击 
C. 不 能 防范 病毒 和 内 部 驱动 的 木马 
D. 不 能 防范 针对 防火 墙 开 放 端 口 的 攻击 
三 ,判断 题 
1. 防火 墙 一 般 采 用 “所 有 未 被 允许 的 就 是 禁止 的 "和 “所 有 未 被 禁止 的 就 是 允许 的 ”两 
个 基本 准则 ,其 中 前 者 的 安全 性 要 比 后 者 高 。 
2. 包 过 滤 防 火 墙 一 般 工 作 在 OSI 参考 模型 的 网 络 层 和 传输 层 ,主要 对 IP 分 组 和 
TCP/UDP 的 端口 进行 检测 和 过 滤 操 作 。 
3. 当 硬 件 配置 相同 时 ,代理 防火 墙 对 网 络 性 能 的 影响 比 包 过 滤 防 火 墙 小 。 
4. 有 些 个 人 防火 墙 是 一 款 独 立 的 软件 .而 有 些 个 人 防火 墙 则 融合 在 防 病毒 软件 中 
使 用 。 
四 、 简 答题 
1. 防火 墙 具 有 哪些 功能 ? 
2. 防火 墙 的 体系 结构 有 哪些 ? 
五 、 综 合 题 
1. 某 企业 的 网 络 安 装 防火 墙 的 拓扑 结构 如 下 图 所 示 。 防 火 墙 包 过 滤 规 则 的 默认 策略 
为 拒绝 ,下 表 给 出 防火 墙 的 包 过滤 规 则 配置 界面 。 请 参考 例子 分 别 为 下 面 两 个 需求 配置 相 
应 的 包 过 滤 规 则 。 
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E0:202.116.12.37/30 E1:210.154.169.1/28 


DMZ Web 服 务 器 
210.154.169.8 


192.168.1.4 


例 : 要 求 内 网 所 有 用 户 能 使 用 浏览 器 访问 DMZ 区 的 Web 服务 器 210. 156. 169. 8, 如 下 表 。 


序号 策略 源 地 址 源 端 口 目的 地 址 目的 端口 。 协议 方向 
例 允许 192. 168. 1.0 any 210. 154. 169.8 80 TCP 。 E2~El 


(1) 
(2) 
(3) 


(1) 要 求 外 网 所 有 用 户 能 使 用 IE 浏览 器 访问 DMZ 区 的 Web 服务 器 210. 156. 169. 8。 
(2) 要 求 内 网 所 有 用 户 能 使 用 IE 浏览 器 访问 外 网 的 所 有 Web 服务 器 。 

(3) 禁止 PC3 访问 地 址 为 210. 156. 169. 8 的 Web 服务 器 。 

2. 某 公司 通过 PIX 防火 墙 接 人 因特网 ,网 络 拓扑 如 下 图 所 示 。 


Outside Internet 


PIX 防 火 墙 


DMZ 


Web 服 务 器 路 由 器 R1 


在 防火 墙 上 利用 show 命令 查询 当前 配置 信息 如 下 : 


nameif eth0 outside security0 
nameif ethl inside security100 
nameif eth2 dmz security40 


ip address outside 61.144.51.42 255.255.255.248 
ip address inside 192.168.1.1 255.255.255:0 
ip address dmz 10.10.0.1 255.255.255.0 


global (outside) 1 61.144.51.46 
nat (inside) 1 0.0.0.0 0.0.0.0 


(1) 根据 配置 信息 填写 下 表 。 


域 名 称 接口 名 称 IP 地 址 IP 地 址 掩 码 
inside ethl 0 255. 255. 255.0 
outside eth0 61. 144. 51. 42 


dmz @ @ 


(2) 根据 所 显示 的 配置 信息 ,由 inside 域 发 往 因 特 网 的 IP 分 组 在 到 达 路 由 器 R1 时 的 
源 地 址 是 什么 ? 

3. 网 络 结构 如 下 图 所 示 ,要求 禁止 终端 A 终端 B 和 终端 C 之 间 相 互通 信 , 但 允许 这 三 
个 终端 和 其 他 终端 相互 通信 ,同时 也 允许 其 他 终端 之 间 相 互通 信 , 请 填 下 表 , 给 出 需要 配置 


的 静态 包 过 滤器 。 
0 RI R2 192.1.2.0/24 
国 
终端 
192. la 终端 B 
192.1.2.1/24 
192.1.3.124 
协 议 源 IP 目的 IP 动 作 
路 由 器 R1 接口 1 输入 方向 
下 
IP 
hm 
路 由 器 R2 接口 3 输入 方向 
IP 
wh 
IP 
路 由 器 R3 接口 2 输入 方向 
IP 
IP 第 
IP 6 
章 
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4. 网 络 结构 如 下 图 所 示 。 请 填 下 表 , 要 求实 现 只 允许 终端 A 发 起 访问 Web 服务 器 , 终 
端 C 发 起 访问 FTP 服务 器 ,禁止 其 他 一 切 网 络 间 通信 的 数据 传输 控件 。 


FTP 服 务 
192.1.1.7/24 


Web 服 务 器 
192.1.2.7/24 


终端 A 终端 B 终端 C 终端 D 
192.1.1.1/24 192.1.1.2/24 192.1.2.1/24 192.1.2.2/24 


协议 源 IP 源 端口 目的 IP 目的 端口 动作 
路 由 器 R1 接口 1 输入 方向 


路 由 器 R2 接口 2 输入 方向 


5. 网 络 结构 如 下 图 所 示 ,如 果 只 允许 LAN1 内 终端 访问 LAN2 内 的 Web 服务 器 ,禁止 
其 他 信息 的 传输 ,如 何在 路 由 器 中 设置 静态 包 过 滤 ,请 填 下 表 。 


LANI1 LAN2 
196.1.1.0/24 196.1.2.0/24 


Web 服 务 器 


FTP 服 务 器 196.1.2.3 
196.1.1.3 
终端 A 终端 B 
196.1.1.8 196.1.2.8 
路 由 器 R1 接口 1 输入 方向 分 组 过 滤 
规则 号 协议 源 IP 地 址 目的 IP 地 址 源 端口 号 目的 端口 号 动 作 


如 果 安 全 策略 是 “只 允许 经 过 终端 B 访 问 FTP 服务 器 操作 有 关 的 IP 分 组 ,禁止 经 过 路 
由 器 传输 其 他 一 切 类 型 的 IP 分 组 ”, 如 何 设 置 路 由 器 中 静态 包 过 滤 , 请 填 下 表 。 
路 由 器 R1 接口 1 输出 方向 分 组 过 滤 
规则 号 协议 源 IP 地 址 目的 IP 地 址 源 端口 号 ”目的 端口 号 动 作 


1 
2 
3 
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第 7 章 入 侵 检 测 技术 


【本 章 学 习 目 标 】 

。 了 解 入 侵 检 测 的 定义 

。 理解 人 侵 检测 通用 模型 

。 了解 和 侵 检 测 系统 结构 

。 了解 和 人 侵 检 测 系统 类 型 及 优 缺点 
。 掌握 异常 检测 与 误 用 检测 技术 
。 掌握 Snort 入 侵 检测 系统 


7.1 入 侵 检测 概述 


7.1.1 入 侵 检 测 系 统 的 概念 


入 侵 是 一 个 广义 上 的 概念 ,是 指 任何 非 授 权 进 入 系统 进行 访问 、 威 胁 和 破坏 的 行为 。 实 
施 人 侵 的 人 通常 称 为 人 侵 者 或 攻击 者 。 

美国 国家 安全 通信 委员 会 (NSTAC) 下 属 的 入 侵 检测 小 组 (IDSG) 在 1997 年 给 出 的 关 
于 “入 侵 检测 ”(Instruction Detection,ID) 的 定义 是 : 入 侵 检 测 是 对 企图 入 侵 、 正 在 进行 的 入 
侵 或 已 经 发 生 的 入 侵 行 为 进行 识别 的 过 程 。 入 侵 检测 是 继 “ 防 火 墙 “ 信 息 加 密 ” 等 传统 安全 
保护 方法 之 后 的 新 一 代 安 全 保障 技术 。 它 监视 计算 机 系统 或 网 络 中 发 生 的 事件 ,并 对 它们 
进行 分 析 , 以 寻找 危及 信息 保密 性 、 完 整 性 和 可 用 性 的 入 侵 行为 。 

入 侵 检 测 系统 (Instruction Detection System,IDS) 是 指 对 入 侵 行为 自动 进行 检测 、 监 
控 和 分 析 的 软件 与 硬件 的 组 合 系统 ,是 一 种 自动 监测 信息 系统 内 、 外 入 侵 事 件 的 安全 设备 。 
它 与 其 他 网 络 安全 设备 的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 。 


7.1.2 入 侵 检 测 系统 的 发 展 


和 人 侵 检测 系统 作为 安全 体系 中 一 个 重要 环节 ,从 实验 室 原型 研究 到 推出 商业 化 产品 ,再 
到 走向 市 场 获得 广泛 认同 ,已 经 走 过 了 30 多 年 的 风雨 坎坷 路 。 

1. 概念 的 诞生 

1980 年 4 月 ,James P. Anderson 向 美国 空军 提交 了 一 份 题 为 Computer Security 
Threat Monitoring and Surveillance (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,第 一 次 详 
细 阐 述 了 入 侵 检测 的 概念 ,并 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,以 及 利用 审 
计 跟 踪 数 据 监视 入 侵 活动 的 思想 。 


2. 主机 IDS 研究 

1984 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 科学 实 
验 室 ) 的 Peter Neumann 研究 出 了 一 个 实时 入 侵 检测 系统 模型 , 取 名 为 IDES( 入 侵 检测 专 
家 系统 ) 。 该 模型 由 6 个 部 分 组 成 : 主体 、 对 象 . 审 计 记 录 、 轮 廓 特征 、 异 常 记录 ,活动 规 则 。 
它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱 点 以 及 入 侵 类 型 ,为 构建 入 侵 检测 系统 提供 了 
一 个 通用 的 框架 。 

1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 了 Denning 的 入 侵 检 测 模 型 ,并 成 功 开发 
了 一 个 IDES。 该 系统 包含 一 个 异常 检测 器 和 一 个 专家 系统 ,分 别 用 于 统计 异常 模型 的 建立 
和 基于 规则 的 特征 分 析 检 测 。 该 系统 被 认为 是 入 侵 检 测 研究 中 最 有 影响 的 一 个 系统 ,也 是 
第 一 个 在 应 用 中 运用 了 统计 和 基于 规则 两 种 技术 的 系统 。 

3. 网 络 IDS 研究 

1990 年 是 入 侵 检测 系统 发 展 的 一 个 分 水 岭 。 这 一 年 ,加 州 大 学 戴 维 斯 分 校 的 L. TT. 
Heberlein 等 人 开发 了 网 络 安全 监视 器 (Network Security Monitor,NSM) 。 该 系统 第 一 次 
直接 将 网 络 流 作 为 审计 数据 来 源 , 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 情况 下 监控 
异常 主机 。 从 此 以 后 ,入 侵 检测 系统 发 展 史 翻 开 了 新 的 一 页 ,基于 网 络 的 入 侵 检测 系统 和 基 
于 主机 的 入 侵 检 测 系统 两 大 阵营 正式 形成 。 

4. 主机 IDS 和 网 络 IDS 的 集成 

英里 斯 蠕虫 事件 发 生 之 后 ,网 络 安全 才 真 正 引起 了 人 们 的 高 度 重视 。 美 国 空军 .国家 安 
全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 ,劳伦斯 利 弗 摩尔 国家 实验 室 、 加 州 大 学 戴 维 斯 分 
校 .Haystack 实验 室 ,开展 对 分 布 式 人 侵 检 测 系统 (DIDS) 的 研究 ,将 基于 主机 的 和 基于 网 
络 的 检测 方法 集成 在 一 起 。 

从 20 世纪 90 年 代 至 今 , 人 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 , 并 在 智能 化 
和 分 布 式 两 个 方向 取得 了 长 足 性 的 进展 。 目 前 SRI/CSL、 普 渡 大 学 、 加 州 大 学 等 机 构 在 这 
些 方面 的 研究 代表 了 当前 的 最 高 水 平 。 


7.2 入 侵 检 测 系统 结构 


7.2.1 入 侵 检 测 系统 通用 模型 


对 于 入 侵 检测 框架 的 研究 比较 有 名 的 成 果 是 入 侵 检 测 数 据 交 换 格式 (Intrusion 
Detection Exchange Format, IDEF) 和 通用 入侵 检测 框架 (Common Intrusion Detection 
Framework ,CIDF ) 。 

IDEF 是 由 IETF 的 入 侵 检 测 工 作 组 (Intrusion Detection Working Group,IDWG) 负 责 
建立 的 入侵 检测 数据 交换 标准 。 

CIDF 标准 由 美国 加 州 大 学 戴 维 斯 分 校 的 安全 实验 室 提 出 并 完成 。CIDF 是 一 套 规范 ， 
定义 了 IDS 表达 入 侵 检测 信息 的 标准 语言 ,用 来 表示 系统 事件 .分 析 结 果 和 响应 指标 ,把 和 人 
侵 检 测 系统 从 逻辑 上 分 为 各 个 面向 任务 的 组 件 . 定 义 了 IDS 组 件 之 间 的 通信 协议 。CIDF 
的 文档 由 4 部 分 组 成 ,包括 体系 结构 ,规范 语言 .内 部 通信 和 程序 接口 。 

CIDF 的 体系 结构 文档 中 说 明了 一 个 IDS 的 通用 模型 。 如 图 7-1 所 示 ,CIDF 将 入 侵 检 
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地 入 回 


网 络 作 会 基础 


测 系统 所 要 分 析 的 数据 统称 为 事件 (event) 。 它 将 和 人 侵 检测 系统 分 为 事件 产生 器 .事件 分 析 
器 、 响 应 单元 和 事件 数据 库 4 个 组 件 。 


! 
事件 产生 器 [= 一 一 一 一 一- 
下 
原始 事件 


图 7-1 CIDF 通用 模型 


1. 事件 产生 器 

事件 产生 器 负责 从 整个 计算 环境 中 获取 事件 。 事 件 可 以 是 从 网 络 数据 包 或 系统 日 志 等 
途径 获取 的 数据 ,一 般 将 其 保存 到 数据 库 中 。 

2. 事件 分 析 器 

事件 分 析 器 负责 分 析 事 件 产生 器 搜集 的 数据 ,发 现 非法 的 ,具有 潜在 危险 的 、 异 常 的 数 
据 , 即 通知 响应 单元 做 出 入 侵 响 应 ; 另外 它 还 要 对 数据 库 保存 的 数据 做 定期 统计 分 析 , 做 阶 
段 性 的 异常 数据 详细 分 析 。 

3. 响应 单元 

响应 单元 在 事件 分 析 器 发 现 具 有 入 侵 迹 象 的 异常 数据 后 开始 工作 , 它 可 以 中 止 进程 、 切 
断 连接 、 改 变 属性 ,或 只 是 做 简单 的 报警 。 

4. 事件 数据 库 

事件 数据 库 负责 存储 事件 产生 器 .事件 分 析 器 获取 的 数据 和 分 析 的 结果 。 


7.2.2 入 侵 检 测 系统 结构 概述 


入 侵 检 测 系统 是 监测 网 络 和 系统 以 发 现 违反 安全 策略 事件 的 过 程 。 根 据 CIDF 框架 模 
型 ,可 以 知道 IDS 一 般 包括 三 个 部 分 : 采集 模块 .分析 模块 和 管理 模块 。 

1. 采集 模块 

采集 模块 主要 用 来 信息 收集 , 供 入 侵 检测 系统 进行 分 析 。 信 息 收集 的 内 容 包括 系统 、 网 
络 ,数据 及 用 户 活动 的 状态 和 行为 。 通 常 需要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 
网 段 和 不 同 主机 ) 收 集 信息 ,这 除了 尽 可 能 扩大 检测 范围 的 原因 外 ,还 有 一 个 重要 的 原因 就 
是 从 一 个 源 来 的 信息 有 可 能 看 不 出 疑点 ,但 从 几 个 源 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 
入 侵 的 最 好 标识 。 

入 侵 检测 在 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,因为 入侵 者 经 常 替换 软件 
以 搞 混和 移 走 这 些 信息 ,如 替换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 ,所 以 ,有 必要 利用 已 知 
的 真正 的 和 精确 的 软件 来 报告 这 些 信息 。 入 侵 者 对 系统 的 修改 可 能 使 系统 功能 失常 但 看 起 
来 跟 正常 的 一 样 。 这 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检测 系统 软 


件 本 身 应 具有 相当 强 的 坚固 性 ,防止 被 自 改 而 收集 到 错误 的 信息 。 

入 侵 检 测 利用 的 信息 一 般 来 自 以 下 4 个 方面 。 

(1) 系统 和 网 络 日 志 。 如 果 不 知道 入 侵 者 在 系统 上 做 了 什么 , 那 是 不 可 能 发 现 入 侵 的 。 
日 志 提 供 了 当前 系统 的 细节 ,记录 哪些 系统 被 攻击 了 ,哪些 系统 被 攻破 了 。 因 此 ,充分 利用 
系统 和 网 络 日 志文 件 信 息 是 检测 入 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻 
常 和 不 期 望 活动 的 证 据 , 这 些 证 据 可 以 指出 有 人 正在 人 侵 或 已 成 功 和 人 侵 了 系统 。 通 过 查看 
日 志文 件 ,能 够 发 现 已 成 功 地 人 侵 或 人 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响应 程序 。 日 志文 
件 中 记录 了 各 种 行为 类 型 ,每 种 类 型 又 包含 不 同 的 信息 ,例如 记录 “用 户 活动 ”类 型 的 日 志 ， 
就 包含 登录 .用户 ID 改变 、 用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 ,对 用 户 活 
动 来 讲 , 不 正常 的 或 不 期 望 的 行为 就 是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 以 及 非 授 权 的 企 
图 访问 重要 文件 等 。 由 于 日 志 的 重要 性 ,所 有 重要 的 系统 都 应 定期 做 日 志 , 而 且 日 志 应 被 定 
期 保存 和 备份 ,因为 不 知 何 时 会 需要 它 。 许 多 专家 建议 定期 向 一 个 中 央 日 志 服 务 器 上 发 送 
所 有 日 志 , 而 这 个 服务 器 使 用 一 次 性 写 入 的 介质 来 保存 数据 ,这 样 就 避免 了 攻击 者 算 改 日 
志 。 系 统 本 地 日 志 与 发 到 一 个 远 端 系 统 保 存 的 日 志 提供 了 元 余 和 一 个 额外 的 安全 保护 层 。 
现在 两 个 日 志 可 以 互相 比较 ,任何 的 不 同 均 显 示 了 系统 的 异常 。 

(2) 目录 和 文件 中 的 不 期 望 的 改变 。 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文 
件 ,包含 重要 信息 的 文件 和 私有 数据 文件 经 常 是 攻击 者 修改 或 破坏 的 目标 。 目 录 和 文件 中 
的 不 期 望 的 改变 (包括 修改 ,创建 和 删除 ) ,特别 是 那些 正常 情况 下 限制 访问 的 ,很 可 能 就 是 一 
种 人 侵 产 生 的 指示 和 信和 号。 攻击 者 经 常 蔡 换 ,修改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 , 同 
时 为 了 隐藏 系统 中 他 们 的 表现 及 活动 痕迹 ,都 会 尽力 去 替换 系统 程序 或 修改 系统 日 志文 件 。 

(3) 程序 执行 中 的 不 期 望 行为 。 网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 、 
用 户 启动 的 程序 和 特定 目的 的 应 用 ,如 数据 库 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 个 到 
多 个 进程 来 实现 。 每 个 进程 在 具有 不 同 权限 的 环境 中 执行 ,这 种 环境 控制 着 进程 可 访问 的 
系统 资源 ,程序 和 数据 文件 等 。 一 个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ,操作 执 
行 的 方式 不 同 , 它 利用 的 系统 资源 也 就 不 同 。 操 作 包 括 计 算 、 文 件 传输 和 其 他 进程 ,以 及 与 
网 络 间 其 他 进程 的 通信 。 一 个 进程 出 现 了 不 期 望 的 行为 表明 攻击 者 可 能 正在 入侵 系统 。 攻 
击 者 可 能 会 将 程序 或 服务 的 运行 分 解 ,从 而 导致 它 失败 ,或 者 是 以 非 用 户 或 管理 员 意图 的 方 
式 操 作 。 

(4) 物理 形式 的 入 侵 信 息 。 这 包括 两 个 方面 的 内 容 : 一 是 未 授权 的 对 网 络 硬件 的 连 
接 ; 二 是 对 物理 资源 的 未 授权 访问 。 入 侵 者 会 想方设法 去 突破 网 络 的 周边 防卫 ,如 果 他 们 
能 够 在 物理 上 访问 内 部 网 ,就 能 安装 他 们 自己 的 设备 和 软件 。 由 此 入 侵 者 就 可 以 知道 网 上 
的 由 用 户 加 上 去 的 不 安全 (未 授权 ) 设 备 ,然后 利用 这 些 设备 访问 网 络 。 

2. 分 析 模 块 

分 析 模 块 完成 对 数据 的 解析 ,给 出 怀疑 值 或 做 出 判断 。 一 般 通 过 三 种 技术 手段 进行 分 
析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检 测 ,而 完整 性 分 
析 则 用 于 事后 分 析 。 

(1) 模式 匹配 。 模 式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 
进行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 个 
简单 的 条 目 或 指令 ) ,也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 
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来 讲 , 一 种 进攻 模式 可 以 用 一 个 过 程 (如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 
方法 的 一 大 优点 是 只 需 收 集 相 关 的 数据 集合 ,显著 减少 系统 负担 , 且 技 术 已 相当 成 熟 。 它 与 病 
毒 防火 墙 采 用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 高 。 但 是 该 方法 存在 的 弱点 是 需要 不 断 
地 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

(2) 统计 分 析 。 统 计 分 析 方 法 首先 给 系统 对 象 (如 用 户 文件 .目录 和 设备 等 ) 创 建 一 个 统 
计 描 述 ,统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 测 量 属 性 的 
平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 
侵 发 生 。 例 如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 8 点 至 早 6 点 没有 登 
录 的 账户 却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ,缺点 是 
误 报 、 漏 报 率 高 , 且 不 适应 用 户 正 常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 
的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 ,目前 正 处 于 研究 热点 和 迅速 发 展 之 中 。 

(3) 完整 性 分 析 。 完 整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包括 文件 
和 目录 的 内 容 及 属性 , 它 在 发 现 被 更 改 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 使 用 消息 摘 
要 函数 (例如 MD5) , 它 能 识别 甚至 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 
方法 能 和 否 发 现 人 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 。 
它 的 缺点 是 一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 尽 管 如 此 ,完整 性 检测 方法 还 应 该 是 
网 络 安全 产品 的 必要 手段 之 一 。 如 可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 模 块 ， 
对 网 络 系统 进 行 全 面 的 扫描 检查 。 

3. 管理 模块 

管理 模块 主要 功能 是 做 决策 和 响应 。 入 侵 检测 响应 方式 分 为 主动 响应 和 被 动 响应 。 

目前 ,主动 响应 系统 还 比较 少 ,即使 做 出 主动 响应 ,一 般 也 都 是 断 开 可 疑 攻击 的 网 络 连 
接 , 或 是 阻塞 可 疑 的 系统 调用 , 若 失败 , 则 终止 该 进程 。 但 由 于 系统 暴露 于 拒绝 服务 攻击 下 ， 
这 种 防御 一 般 也 难以 实施 。 主 动 响应 系统 可 以 分 为 对 被 攻击 系统 实施 控制 和 对 攻击 系统 实 
施 控制 的 系统 。 

(1) 对 被 攻击 系统 实施 控制 (防护 )。 它 通过 调整 被 攻击 系统 的 状态 ,阻止 或 减轻 攻击 
影响 ,例如 断 开 网 络 连接 、 增 加 安全 日 志 、 阻 止 可 疑 进程 等 。 

(2) 对 攻击 系统 实施 控制 (反击 )。 这 种 系统 多 被 军 方 所 重视 和 采用 。 

被 动 响应 型 系统 只 会 发 出 报警 通知 ,将 发 生 的 不 正常 情况 报告 给 管理 员 ,本 身 并 不 试图 
降低 所 造成 的 破坏 ,更 不 会 主动 地 对 攻击 者 采取 反击 行动 。 


7.3 入侵 检 测 系统 类 型 


根据 入 侵 检 测 系统 的 检测 对 象 和 工作 方式 的 不 同 ,可 将 入 侵 检 测 系统 分 为 两 大 类 : 基 
于 主机 的 人 侵 检测 系统 (Host-based IDS, HIDS) 和 基于 网 络 的 人 侵 检测 系统 (Network- 
based IDS, NIDS) 。 


7.3.1 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 入 侵 检测 系统 是 在 主机 或 操作 系统 上 检查 有 关 信 息 来 探测 人 侵 行 为 。 这 种 
入 侵 检测 系统 通过 系统 调用 审计 日 志和 错误 信息 等 对 主机 进行 分 析 。 一 个 典型 的 基于 主 


机 的 入 侵 检测 系统 部 署 如 图 7-2 所 示 。 


图 7-2 基于 主机 的 入 侵 检 测 系统 部 署 


基于 主机 的 入 侵 检 测 系 统 通常 是 安装 在 被 重点 检测 的 主机 上 ,主要 是 对 该 主机 的 网 络 
实时 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 主机 活动 十 分 可 疑 ( 特 征 或 违反 
统计 规律 ), 入 侵 检测 系统 就 会 采取 相应 措施 。 

基于 主机 的 和 人 侵 检 测 系统 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 
通常 基于 主机 的 和 人 侵 检测 系统 可 监测 系统 ,事件 和 Window NT 下 的 安全 记录 以 及 UNIX 
环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ,入 侵 检测 系统 将 新 的 记录 条 目 与 攻击 标记 相 比 
较 , 看 它们 是 否 匹配 。 如 果 匹 配 ,系统 就 会 向 管理 员 报警 并 向 别 的 目标 报告 ,以 采取 措施 。 

基于 主机 的 入 侵 检 测 系统 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文 
件 的 入侵 检测 的 一 个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意外 的 变化 。 反 
应 的 快慢 与 轮 询 间隔 的 频率 有 直接 的 关系 。 许 多 系统 都 是 监听 端口 的 活动 ,并 在 特定 端口 
被 访问 时 向 管理 员 报警 。 这 类 检测 方法 将 基于 网 络 的 入侵 检测 的 基本 方法 融入 基于 主机 的 
检测 环境 中 。 

尽管 基于 主机 的 入 侵 检 测 系统 不 如 基于 网 络 的 入 侵 检 测 系统 快捷 ,但 它 确实 具有 基于 
网 络 的 入 侵 检 测 系统 无 法 比拟 的 优点 。 

1. 基于 主机 的 人 侵 检测 系统 优点 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 人 侵 检测 系统 使 用 已 发 生 事件 的 信息 ,它们 
可 以 比 基 于 网 络 的 入侵 检测 系统 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,基于 主机 的 人 
侵 检 测 系统 是 基于 网 络 的 人 侵 检测 系统 完美 补充 ,网 络 部 分 可 以 尽早 提供 警告 ,主机 部 分 可 
以 确定 攻击 成 功 与 否 。 

(2) 监视 特定 的 系统 活动 。 基 于 主机 的 入 侵 检测 系统 监视 用 户 和 访问 文件 的 活动 , 包 
括 文件 访问 、 改 变 文件 权限 、 试 图 建立 新 的 可 执行 文件 并 且 / 或 者 试图 访问 特殊 的 设备 。 如 
基于 主机 的 入 侵 检测 系统 可 以 监督 所 有 用 户 的 登录 及 下 线 情 况 , 以 及 每 位 用 户 在 连接 到 网 
络 以 后 的 行为 。 对 于 基于 网 络 的 系统 要 做 到 这 个 程度 是 非常 困难 的 。 基 于 主机 技术 还 可 监 
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视 只 有 管理 员 才 能 实施 的 非 正常 行为 。 操 作 系统 记录 了 任何 有 关 用 户 账号 的 增加 、 删 除 ` 更 
改 的 情况 ,一旦 改动 发 生 ,基于 主机 的 入侵 检测 系统 就 能 检测 到 这 种 不 适当 的 改动 。 基 于 主 
机 的 入 侵 检 测 系 统 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 ,基于 主机 的 系统 可 以 监视 
系统 文件 和 可 执行 文件 的 改变 ,系统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 特洛伊 木 
马 或 后 门 的 尝试 并 将 它们 中 断 ,而 基于 网 络 的 人 侵 检测 系统 有 时 会 查 不 到 这 些 行为 。 

(3) 能 够 检查 到 基于 网 络 的 系统 检查 不 出 的 攻击 。 基 于 主机 的 系统 可 以 检测 到 那些 基 
于 网 络 的 系统 察觉 不 到 的 攻击 。 如 来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 , 所 以 可 以 躲 开 
基于 网 络 的 人 侵 检 测 系统 。 

(4) 适用 被 加 密 的 和 交换 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 
以 管理 ,所 以 从 覆盖 足够 大 的 网 络 范 围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 入 侵 检 测 系 统 
的 最 佳 位 置 。 业 务 映射 和 交换 机 上 的 管理 端口 有 助 于 此 ,但 这 些 技术 有 时 并 不 适用 。 基 于 
主机 的 入 侵 检 测 系统 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 某 
些 加 密 方式 也 向 基于 网 络 的 入 侵 检测 发 出 了 挑战 。 由 于 加 密 方 式 位 于 协议 堆栈 内 ,所 以 基 
于 网 络 的 系统 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 入 侵 检 测 系统 没有 这 方面 的 限制 , 当 操 
作 系 统 及 基于 主机 的 系统 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 基于 主机 的 入 侵 检测 系统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 应 用 正确 ,反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间 
隔 内 检查 登记 文件 的 状态 和 内 容 , 与 旧式 系统 不 同 ,基于 主机 的 系统 采用 中 断 指令 ,新 的 记 
录 可 被 立即 处 理 , 显 著 减少 了 从 攻击 验证 到 做 出 响应 的 时 间 。 在 从 操作 系统 做 出 记录 到 基 
于 主机 的 系统 得 到 辨识 结果 之 间 的 这 段 时 间 是 一 段 延 迟 , 但 大 多 数 情况 下 ,在 破坏 发 生 之 
前 ,系统 就 能 发 现 人 侵 者 ,并 阻止 他 的 攻击 。 

(6) 不 要 求 额 外 的 硬件 设备 。 基 于 主机 的 和 人 侵 检测 系统 存在 于 现行 网 络 结构 之 中 , 包 
括 文件 服务 器 , Web 服务 器 及 其 他 共享 资源 。 这 些 使 得 基于 主机 的 系统 效率 很 高 。 因 为 它 
们 不 需要 在 网 络 上 另外 安装 登记 、 维 护 及 管理 的 硬件 设备 。 

(7) 系统 花费 更 加 低廉 。 基 于 网 络 的 人 侵 检测 系统 比 基 于 主机 的 人 侵 检 测 系统 要 昂贵 
得 多 。 

2. 基于 主机 的 人 侵 检 测 系统 缺点 

(1) 主机 入 侵 检 测 系统 安装 在 我 们 需要 保护 的 设备 上 ,如 需要 保护 一 个 数据 库 服务 器 
时 ,就 要 在 服务 器 上 安装 入 侵 检 测 系统 ,但 这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 
些 额外 的 安全 问题 ,安装 了 主机 入 侵 检 测 系统 后 ,将 安全 管理 员 本 无 权 访问 的 服务 器 变 成 他 
可 以 访问 的 了 。 

(2) 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 主机 入 侵 检测 系 
统 保护 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 主机 将 成 为 保护 的 盲点 ， 
入 侵 者 可 利用 这 些 主 机 达到 攻击 目标 。 

(4) 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 
行为 的 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 


7.3.2 基于 网 络 的 入 侵 检 测 系统 


基于 网 络 的 人 侵 检 测 系统 对 数据 包 进 行 分 析 以 探测 针对 网 络 的 攻击 。 这 种 人 侵 检测 系 
统 嗅 探 网 络 数据 包 ,并 将 数据 流 与 已 知人 侵 行 为 的 特征 进行 比较 。 一 个 典型 的 基于 网 络 的 
入 侵 检测 系统 部 署 如 图 7-3 所 示 。 
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图 7-3 基于 网 络 的 入侵 检测 系统 部 署 


基于 网 络 的 入侵 检测 系统 使 用 原始 网 络 包 作为 数据 源 。 基 于 网 络 的 人 侵 检测 系统 通常 
利用 一 个 运行 在 随机 模式 下 的 网 络 适 配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 
的 攻击 辨识 模块 通常 使 用 4 种 常用 技术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 
穿越 阀 值 ; 低级 事件 的 相关 性 ; 统计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 了 攻击 行为 ,入 侵 检 测 系统 的 响应 模块 就 提供 多 种 选项 以 通知 ,报警 并 对 攻 
击 采 取 相 应 的 反应 。 反 应 因 系 统 而 异 ,但 通常 都 包括 通知 管理 员 、 中 断 连接 并 且 / 或 为 法 庭 
分 析 和 证 据 收 集 而 做 的 会 话 记 录 。 

1. 基于 网 络 的 人 侵 检测 系统 优点 

(1) 拥有 成 本 较 低 。 基 于 网 络 的 人 侵 检 测 系统 可 在 几 个 关键 访问 点 上 进行 策略 配置 ， 
以 观察 发 往 多 个 系统 的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监 
测 的 点 较 少 ,因此 对 于 一 个 用 户 来 说 ,拥有 成 本 很 低 。 

(2) 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 入 侵 检测 系统 检查 所 有 包 的 头 部 从 
而 发 现 恶意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 人 侵 检测 系统 无 法 查看 包 的 头 部 ,所 以 它 无 
法 检测 到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 和 碎片 型 攻击 只 能 在 它 
们 经 过 网 络 时 ,在 基于 网 络 的 入 侵 检 测 系统 中 通过 实时 监测 包 流 而 被 发 现 。 基 于 网 络 的 入 
侵 检 测 系统 可 以 检查 有 效 负载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 如 通过 检查 数据 
包 有 效 负载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 巾 于 基于 主机 
的 系统 不 检查 有 效 负载 ,所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

(3) 攻击 者 不 易 转 移 证 据 。 基 于 网 络 的 入 侵 检测 系统 使 用 正在 发 生 的 网 络 通信 进行 实时 


入 侵 检 测 拔 术 


击 包 恢 


攻击 的 检测 ,所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 识 
别 的 入 侵 者 身份 及 对 其 进行 起 诉 的 信息 。 许 多 人 侵 者 都 熟知 审计 记录 ,他 们 知道 如 何 操纵 这 
些 文件 掩盖 他 们 的 入 侵 痕 迹 ,来 阻止 需要 这 些 信 息 的 基于 主机 的 入 侵 检 测 系统 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。 基 于 网 络 的 人 侵 检测 系统 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 
将 其 检测 出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 
攻击 可 以 通过 将 基于 网 络 的 人 侵 检测 系统 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破 
坏 前 将 其 中 断 。 而 基于 主机 的 系统 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 
做 出 反应 ,这 时 关键 系统 可 能 早 就 遭 到 了 破坏 ,或 是 运行 基于 主机 的 入侵 检测 系统 的 系统 已 
被 摧毁 。 实 时 入 侵 检测 系统 可 根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 
监视 模式 以 收集 信息 ,立即 阻止 攻击 等 。 

(5) 检测 未 成 功 的 攻击 和 不 良 意图 。 基 于 网 络 的 入 侵 检 测 系统 增加 了 许多 有 价值 的 数 
据 , 以 判别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝 试 ,位 于 防火 墙 之 外 的 基于 网 络 的 入 
侵 检测 系统 可 以 查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 系统 无 法 查 到 未 攻击 到 防火 墙 
内 主机 的 未 遂 攻 击 ,而 这 些 丢失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 入侵 检测 系统 作为 安全 监测 资源 ,与 主机 的 操作 系 
统 无 关 。 与 之 相 比 ,基于 主机 的 系统 必须 在 特定 的 ,没有 遭 到 破坏 的 操作 系统 中 才能 正常 工 
作 , 生 成 有 用 的 结果 。 

2. 基于 网 络 的 人 侵 检 测 系统 缺点 

(1) 网络 入侵 检测 系统 只 检测 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 ， 
在 使 用 交换 以 太 网 的 环境 中 会 出 现 监测 范围 的 局 限 。 安 装 多 台 网 络 人 侵 检测 系统 的 传感器 
会 使 部 署 整 个 系统 的 成 本 大 大 增加 。 

(2) 网 络 入 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普 
通 的 攻击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) 网 络 入 侵 检 测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数 据 流 量 。 一 些 系 统 在 实现 时 采用 一 定 方法 来 减少 回 传 的 数据 
量 , 对 入 侵 判 断 的 决策 由 传感器 实现 ,而 中 央 控制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 
侵 行为 分 析 器 。 这 样 系 统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) 网 络 入 侵 检 测 系统 处 理 加密 的 会 话 过 程 较 困难 。 目 前 通过 加 密 通 道 的 攻击 尚 不 
多 ,但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 

基于 主机 和 基于 网 络 的 人 侵 检 测 都 有 其 优势 和 劣势 ,两 种 方法 互 为 补充 。 真 正 有 效 的 
入侵 检测 系统 应 将 二 者 结合 起 来 。 


7.4 入 侵 检 测 技术 


入 侵 检测 系统 的 检测 分 析 技 术 主 要 分 为 两 大 类 : 异常 检测 技术 和 误 用 检测 技术 。 
7.4.1 异常 检测 技术 


1. 异常 检测 技术 基本 原理 
异常 检测 技术 又 称 基 于 行为 的 入 侵 检测 技术 ,用 来 识别 主机 或 网 络 的 异常 行为 。 它 假 


设 攻击 与 正常 的 (合法 的 ) 活 动 有 明显 的 差异 。 异 常 检测 首先 收集 一 段 时 间 操作 活动 的 历史 
数据 ,再 建立 代表 主机 、 用 户 或 网 络 连 接 的 正常 行为 描述 ,然后 收集 事件 数据 并 使 用 一 些 不 
同 的 方法 来 决定 所 检测 到 的 事件 活动 是 否 偏离 了 正常 行为 模式 ,从 而 判断 是 否 发 生 了 入 侵 。 
异常 检测 模型 的 结构 如 图 7-4 所 示 。 
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图 7-4 异常 检测 模型 的 结构 


2. 异常 检测 基本 方法 

异常 检测 是 一 个 “学 习 正常 ,发现 异常 ?的 过 程 , 它 的 主要 特点 体现 在 学 习 过 程 中 ,可 以 
借鉴 其 他 领域 的 方法 来 完成 用 户 行为 的 学 习 和 异常 的 检测 。 其 主要 的 异常 检测 方法 有 : 概 
率 统计 方法 ,神经 网 络 方法 、 免 疫 方 法 等 。 

1) 基于 概率 统计 的 检测 

基于 概率 统计 的 检测 技术 是 异常 人 侵 检 测 中 最 常用 的 技术 , 它 对 用 户 历史 行为 建立 模 
型 。 根 据 该 模型 , 当 入 侵 检测 系统 发 现 有 可 疑 的 用 户 行为 发 生 时 就 保持 跟踪 ,并 监视 和 记录 
该 用 户 的 行为 。 

斯 坦 福 国际 研究 院 (Stanford Research Institute,SRD) 研 制 开 发 的 IDES 是 一 个 典型 的 
实时 监测 系统 。IDES 能 根据 用 户 以 前 的 历史 行为 生成 每 个 用 户 的 历史 行为 记录 库 , 并 能 
自 适应 地 学 习 被 检测 系统 中 每 个 用 户 的 行为 习惯 。 当 某 个 用 户 改 变 其 行为 习惯 时 ,这 种 异 
常 就 被 检测 出 来 。 这 种 系统 具有 固有 的 弱点 ,例如 ,用 户 的 行为 非常 复杂 ,因而 要 想 准 确 地 
匹配 一 个 用 户 的 历史 行为 和 当前 行为 是 非常 困难 的 。 这 种 方法 的 一 些 假 设 是 不 准确 或 不 贴 
切 的 ,容易 造成 系统 误 报 、 错 报 或 漏 报 。 

在 这 种 实现 方法 中 ,检测 器 首先 根据 用 户 对 象 的 动作 为 每 一 个 用 户 建立 一 个 用 户 特 征 
表 , 通 过 比较 当前 特征 和 已 存储 的 以 前 特征 判断 是 否 为 异常 行为 。 用 户 特征 表 需 要 根据 审 
计 记 录 情 况 不 断 加 以 更 新 。 在 SRI 的 IDES 中 给 出 了 一 个 特征 简 表 的 结构 : {变量 名 ,行为 
描述 ,例外 情况 ,资源 使 用 ,时 间 周 期 ,变量 类 型 , 阅 值 ,主体 ,客体 ,特征 值 ) ,其 中 ,变量 名 \ 主 
体 、 客 体 唯一 确定 了 特征 简 表 ,特征 值 由 系统 根据 审计 数据 周期 产生 。 这 个 特征 值 是 所 有 有 
悖 于 用 户 特征 的 异常 程度 值 的 函数 。 

这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 ,不 足 之 处 在 于 : 统计 检测 对 于 事 
件 发 生 的 次 序 不 敏感 ,完全 依靠 统计 理论 ,可 能 会 漏 掉 那些 利用 彼此 相关 联 事件 的 入 侵 行 
为 。 定 义 判 断 入 侵 的 阔 值 比较 困难 , 阔 值 太 高 则 误 检 率 提高 , 阔 值 太 低 则 漏 检 率 提高 。 

2) 基于 神经 网 络 的 检测 

基于 神经 网 络 的 检测 技术 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ,在 给 定 一 个 
输入 后 ,就 可 能 预测 出 输出 。 它 是 对 基于 概率 统计 的 检测 技术 的 改进 ,主要 克服 了 传统 的 统 
计 分 析 技 术 的 一 些 问 题 。 
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基于 神经 网 络 的 模块 将 当前 命令 和 刚 过 去 的 W 个 命令 组 成 了 网 络 的 输入 ,其 中 W 是 神 
经 网 络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根 据 用 户 的 代表 性 命令 序列 训练 网 络 
后 ,该 网 络 就 形成 了 相应 的 用 户 特征 表 。 网 络 对 下 一 事件 的 预测 错误 率 在 一 定 程度 上 反映 了 
用 户 行为 的 异常 程度 。 这 种 方法 的 优点 在 于 能 够 更 好 地 处 理 原 始 数据 的 随机 特征 , 即 不 需要 对 
这 些 数据 做 任何 统计 假设 并 有 较 好 的 抗 干扰 能 力 ; 缺点 是 网 络 的 拓扑 结构 及 各 元 素 的 权 值 很 难 
确定 ,命令 窗口 的 W 值 也 很 难 选取 。 窗 口 太 大 ,网 络 效率 降低 ; 窗口 太 小 ,网 络 输出 不 理想 。 

目前 ,神经 网 络 技术 提出 了 对 基于 传统 统计 技术 的 攻击 检测 方法 的 改进 方向 ,但 尚 不 十 
分 成 熟 , 所 以 传统 的 统计 方法 仍 继续 发 挥 作用 ,仍然 能 为 发 现 用 户 的 异常 行为 提供 相当 有 参 
考 价值 的 信息 。 

3) 基于 免疫 的 检测 

基于 免疫 的 检测 技术 是 将 自然 免疫 系统 的 某 些 特征 运用 到 网 络 系统 中 ,使 整个 系统 具 
有 适应 性 .自我 调节 性 .可 扩展 性 。 人 的 免疫 系统 成 功 地 保护 人 体 不 受 各 种 抗原 和 组 织 的 侵 
害 , 这 个 重要 特征 吸引 了 许多 计算 机 安全 专家 和 人 工 智 能 专家 。 通 过 学 习 免 疫 专家 的 研究 
成 果 , 计 算 机 专家 提出 了 计算 机 免疫 系统 。 在 许多 传统 的 网 络 安全 系统 中 ,每 个 目标 都 将 它 
的 系统 日 志和 收集 到 的 信息 传送 给 相应 的 服务 器 ,由 服务 器 分 析 整 个 日 志和 信息 ,判断 是 否 
发 生 恶意 人 侵 。 基 于 免疫 的 人 侵 检测 系统 运用 计算 免疫 的 多 层 性 、 分 布 性 .多 样 性 等 特性 设 
置 动 态 代 理 , 实 施 分 层 检测 和 响应 机 制 。 


7.4.2 误 用 检测 技术 


1. 误 用 检测 技术 基本 原理 

误 用 检测 技术 又 称 基 于 知识 的 检测 技术 。 它 假设 所 有 入 侵 行 为 和 手段 都 能 够 表达 为 一 
种 模式 或 特征 ,并 对 已 知 的 入 侵 行为 和 手段 进行 分 析 , 提 取 检 测 特征 ,构建 攻击 模式 或 攻击 
签名 ,通过 系统 当前 状态 与 攻击 模式 或 攻击 签名 的 匹配 判断 入 侵 行 为 。 误 用 检测 模式 的 结 
构 如 图 7-5 所 示 。 
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图 7-5 误 用 检测 模型 的 结构 


误 用 检测 技术 的 优点 在 于 可 以 准确 地 检测 已 知 的 入 侵 行为 ,缺点 是 不 能 检测 未 知 的 入 
侵 行为 。 
2. 误 用 检测 基本 方法 
误 用 检测 是 一 个 “总 结 人 侵 特征 ,确定 攻击 ?的 过 程 , 它 的 主要 特点 体现 在 特征 库 的 建 
。 其 主要 的 检测 方法 有 专家 系统 、 模 型 推理 等 。 
1) 基于 专家 系统 的 检测 
安全 检测 工作 的 另外 一 个 值得 重视 的 研究 方向 是 基于 专家 系统 的 攻击 检测 技术 , 即 根 


Et 


据 安 全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ,然后 再 在 此 基础 上 建立 相应 的 专 
家 系统 。 专 家 系统 对 所 涉及 的 攻击 操作 自动 进行 分 析 工 作 。 

所 谓 专家 系统 ,是 基于 一 套 由 专家 经 验 事先 定义 的 规则 的 推理 系统 。 例 如 , 某 个 用 户 在 
数 分 钟 之 内 连续 进行 登录 , 且 失 败 次 数 超过 三 次 ,专家 系统 就 可 以 认为 这 是 一 种 攻击 行为 。 
类 似 的 规则 在 统计 系统 中 似乎 也 有 ,但 要 注意 的 是 基于 规则 的 专家 系统 或 推理 系统 也 有 其 
局 限 性 ,因此 作为 这 类 系统 的 基础 推理 规则 一 般 都 是 根据 已 知 的 安全 漏洞 进行 安排 和 策划 
的 ,而 对 系统 的 最 危险 的 威胁 则 主要 来 自 未 知 的 安全 漏洞 。 实 现 基 于 规则 的 专家 系统 是 一 
个 知识 工程 问题 ,而 且 其 功能 应 当 能 够 随 着 经 验 的 积累 而 利用 其 自学 能 力 进 行规 则 的 扩充 
和 修正 。 当 然 ,这 种 能 力 需 要 在 专家 的 指导 和 参与 下 才能 实现 ,否则 可 能 会 导致 较 多 的 错 
误 。 一 方面 ,推理 机 制 使 得 系统 面 对 一 些 新 的 行为 现象 时 可 能 具备 一 定 的 应 对 能 力 ( 即 有 可 
能 发 现 一 些 新 的 安全 漏洞 ); 另 一 方面 ,攻击 行为 也 可 能 不 会 触发 任何 一 个 规则 ,从 而 还 被 
检测 到 。 总 的 来 说 ,专家 系统 对 历史 数据 的 依赖 性 比 基 于 统计 技术 的 审计 系统 少 ,因此 系统 
的 适应 性 比较 强 , 可 以 较 灵 活 地 适应 广泛 的 安全 策略 和 检测 需求 。 但 迄今 为 止 ,推理 系统 和 
谓词 演算 的 可 计算 问题 还 未 得 到 很 好 的 解决 。 

在 具体 实现 过 程 中 ,专家 系统 主要 面临 的 问题 如 下 。 

(1) 全 面 性 问题 : 很 难 从 各 种 入 侵 检 测 手段 中 抽象 出 全 面 的 规则 化 知识 。 

(2) 效率 问题 : 需要 处 理 的 数据 量 过 大 ,而 且 在 大 型 系统 上 很 难 获得 实时 、 连 续 的 审计 
数据 。 

2) 基于 模型 推理 的 检测 

攻击 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 程序 ,如 猜测 口令 的 程序 ,这 种 行为 程序 
构成 了 某 种 具有 一 定 行为 特征 的 模型 ,根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ,可 以 实 
时 地 检测 出 恶意 的 攻击 企图 。 用 基于 模型 的 推理 方法 ,人 们 能 够 为 某 些 行为 建立 特定 的 模 
型 ,从 而 能 够 监视 具有 特定 行为 特征 的 某 些 活动 。 根 据 假 设 的 攻击 脚本 ,这 种 系统 就 能 够 检 
测 出 非法 的 用 户 行为 。 为 了 准确 判断 ,一般 要 为 不 同 的 攻击 者 和 不 同 的 系统 建立 不 同 的 攻 
击 脚本 。 

当 有 证 据 表 明 某 种 特定 的 攻击 发 生 时 ,系统 应 收集 其 他 证 据 来 证 实 或 否定 攻击 的 真实 
性 , 既 不 能 漏 报 攻击 对 信息 系统 造成 实际 损害 ,又 能 尽量 避免 错 报 。 

当然 ,上 述 几 种 方法 都 不 能 彻底 解决 攻击 检测 问题 ,所 以 最 好 是 综合 地 利用 各 种 手段 强 
化 计算 机 信息 系统 的 安全 程序 ,以 增加 攻击 成 功 的 难度 ,同时 根据 系统 本 身 的 特点 选择 适合 
的 攻击 检测 手段 。 


7.5 入侵 检测 的 特点 与 发 展 趋势 


7.5.1 入 侵 检 测 系统 的 优点 和 局 限 性 


入 侵 检测 系统 是 企业 安全 防御 系统 中 的 重要 部 件 ,但 入 侵 检 测 系 统 并 不 是 万 能 的 。 入 
侵 检测 系统 对 于 部 分 事件 可 以 处 理 得 很 好 ,但 对 于 另 一 些 情况 则 无 能 为 力 。 只 有 充分 了 解 
入 侵 检 测 系统 的 优点 和 局 限 性 ,才能 对 入 侵 检 测 系统 有 一 个 准确 的 定位 ,以 便 将 入 侵 检测 系 
统 有 效 地 应 用 在 安全 防御 系统 中 ,最 大 程度 地 发 挥 它 的 安全 防御 功能 。 
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1. 人 侵 检测 系统 的 优点 

入 侵 检 测 系统 作为 一 个 迅速 崛起 并 受到 广泛 认可 的 安全 组 件 , 有 着 很 多 方面 的 安全 优势 , 

(1) 可 以 检测 和 分 析 系 统 事件 以 及 用 户 的 行为 ; 

(2) 可 以 检测 系统 设置 的 安全 状态 ; 

(3) 以 系统 的 安全 状态 为 基础 ,跟踪 任何 对 系统 安全 的 修改 操作 ; 

(4) 通过 模式 识别 等 技术 从 通信 行为 中 检测 出 已 知 的 攻击 行为 ; 

(5) 可 以 对 网 络 通 信行 为 进行 统计 ,并 进行 检测 分 析 ; 

(6) 管理 操作 系统 认证 和 日 志 机 制 并 对 产生 的 数据 进行 分 析 处 理 ; 

(7) 在 检测 到 攻击 的 时 候 , 通 过 适当 的 方式 进行 适当 的 报警 处 理 ; 

(8) 通过 对 分 析 引 擎 的 配置 对 网 络 的 安全 进行 评估 和 监督 ; 

(9) 允许 非 安 全 领域 的 管理 人 员 对 重要 的 安全 事件 进行 有 效 的 处 理 。 

2. 人 侵 检测 系统 的 局 限 性 

入 侵 检测 系统 只 能 对 网 络 行为 进行 安全 审计 ,从 入 侵 检测 系统 的 定位 可 以 看 出 ,入 侵 检 
测 系统 存在 以 下 缺陷 。 

(1) 入 侵 检测 系统 无 法 弥补 安全 防御 系统 中 的 安全 缺陷 和 漏洞 。 这 些 安 全 缺陷 和 漏洞 
包括 其 他 安全 设备 的 错误 配置 造成 的 安全 漏洞 :以 及 安全 设备 本 身 的 实现 造成 的 安全 缺陷 。 
和 人 侵 检测 系统 可 以 通过 审计 报警 对 这 些 可 能 的 安全 漏洞 进行 揭示 和 定位 ,但 却 不 能 主动 对 
这 些 漏 洞 进行 弥补 ,而 这 些 报警 信息 只 有 通过 人 为 的 补救 处 理 才 具有 意义 。 

(2) 对 于 高 负载 的 网 络 或 主机 ,很 难 实现 对 网 络 入 侵 的 实时 检测 ,报警 和 迅速 地 进行 攻 
击 响 应 。 同 时 ,对 于 高 负载 的 环境 ,如 果 没 有 采用 代价 较 大 的 负载 均衡 措施 ,入 侵 检 测 系 统 
会 存在 较 大 的 分 析 遗 漏 ,容易 造成 较 大 的 漏 报警 率 。 

(3) 基于 知识 的 和 人 侵 检测 系统 很 难 检测 到 未 知 的 攻击 行为 。 即 检测 具有 一 定 的 滞后 
性 ,而 对 于 已 知 的 报警 ,一些 没有 明显 特征 的 攻击 行为 也 很 难 检测 到 ,或 需要 付出 提高 误 报 
警 率 的 代价 才能 够 正确 检测 。 而 基于 行为 特征 的 入 侵 检测 系统 只 能 在 一 定 程度 上 检测 到 新 
的 攻击 行为 ,但 一 般 很 难 给 新 的 攻击 定性 ,提供 给 系统 管理 员 的 处 理 信 息 较 少 ,很 难 进行 进 
一 步 的 防护 处 理 。 

(4) 入 侵 检 测 系统 的 主动 防御 功能 和 联动 防御 功能 会 对 网 络 的 行为 产生 影响 ,同样 也 
会 成 为 攻击 者 的 目标 ,实现 以 人 侵 检 测 系统 自动 防御 为 基础 的 攻击 。 通 过 发 送 伪造 的 数据 ， 
触发 人 侵 检 测 系统 的 主动 防御 响应 ,对 可 信 连 接 进行 阻 断 ,造成 拒绝 服务 攻击 。 在 目前 的 技 
术 条 件 下 ,对 于 网 络 的 主动 防御 的 设置 应 十 分 慎重 ,防止 出 现 利用 主动 防御 系统 进行 网 络 攻 
击 的 情况 。 

(5) 入 侵 检测 系统 无 法 单独 防止 攻击 行为 的 渗透 ,只 能 调整 相关 网 络 设备 的 参数 或 人 为 
地 进行 处 理 。 巾 于 入 侵 检测 技术 不 可 避免 地 存在 着 大 量 的 误 报 情况 ,因此 进行 自动 防御 会 造 
成 对 可 信 连 接 的 影响 。 目 前 的 入 侵 检 测 系统 在 实质 性 安全 防御 方面 ,还 是 要 以 人 为 修正 为 主 ， 
即使 是 对 可 确定 入 侵 的 自动 阻 断 行为 ,建议 也 要 经 过 人 为 干预 ,防止 可 能 的 过 度 防 御 。 

(6) 网 络 人 侵 检测 系统 在 纯 交 换 环 境 下 无 法 正常 工作 ,只 有 对 交换 环境 进行 一 定 的 处 
理 , 利 用 镜像 等 技术 ,网 络 人 侵 检 测 系统 才能 对 镜像 的 数据 进行 分 析 处 理 。 因 此 ,在 交换 环 
境 中 ,进行 各 个 方向 的 检测 分 析 将 非常 困难 并 且 代 价 较 大 。 

(7) 入 侵 检测 系统 主要 是 对 网 络 行为 进行 分 析 检 测 ,不 能 修正 信息 资源 中 存在 的 安全 问题 。 


7.5.2 入 侵 检 测 技 术 的 发 展 趋势 


1. 分 析 技 术 的 改进 

入 侵 检 测 误 报 和 漏 报 的 解决 最 终 依靠 分 析 技 术 的 改进 。 目 前 入 侵 检测 分 析 方法 主要 有 
统计 分 析 、 模 式 匹配 、 完 整 性 分 析 等 。 

2. 内 容 恢复 和 网 络 审计 功能 的 引入 

入 侵 检测 的 最 高 境界 是 行为 分 析 , 但 行为 分 析 目 前 还 不 是 很 成 熟 ,因此 个 别 优 秀 的 入 侵 
检测 产品 引入 了 内 容 恢复 和 网 络 审计 功能 。 

内 容 恢 复 即 在 协议 分 析 的 基础 上 ,对 网 络 中 发 生 的 行为 加 以 完整 的 重组 和 记录 ,网 络 中 
发 生 的 任何 行为 都 逃 不 过 它 的 监视 。 网 络 审 计 即 对 网 络 中 所 有 的 连接 事件 进行 记录 。 入 侵 
检测 的 接 人 方式 决定 入 侵 检 测 系统 中 的 网 络 审计 不 仅 类 似 防 火 墙 可 以 记录 网 络 进出 信息 ， 
还 可 以 记录 网 络 内 部 连接 状况 ,此 功能 对 内 容 恢复 无 法 恢复 的 加 密 连接 尤其 有 用 。 

内 容 恢 复 和 网 络 审 计 让 管理 员 看 到 网 络 的 真正 运行 状况 ,其 实 就 是 调动 管理 员 参 与 行 
为 分 析 过 程 。 此 功能 不 仅 能 使 管理 员 看 到 孤立 的 攻击 事件 的 报警 ,还 可 以 看 到 整个 攻击 过 
程 ,了 解 攻击 确实 发 生 与 否 ,查看 攻击 者 的 操作 过 程 ,了 解 攻击 造成 的 危害 ; 不 但 能 发 现 已 
知 攻击 ,还 能 发 现 未 知 攻击 ; 不 但 发 现 外 部 攻击 者 的 攻击 ,也 能 发 现 内 部 用 户 的 恶意 行为 。 
管理 员 是 最 了 解 其 网 络 的 ,管理 员 通 过 此 功能 的 使 用 ,很 好 地 达到 了 行为 分 析 的 目的 。 但 使 
用 此 功能 的 同时 需 注意 对 用 户 隐私 的 保护 。 

3. 集成 网 络 分 析 和 管理 功能 

入 侵 检测 不 但 对 网 络 攻 击 是 一 个 检测 ,还 可 以 收 到 网 络 中 的 所 有 数据 ,对 网 络 的 故障 分 
析 和 健康 管理 也 可 起 到 重大 作用 。 当 管理 员 发 现 某 台 主机 有 问题 时 ,也 希望 能 马上 对 其 进 
行 管理 。 入 侵 检测 不 应 只 采用 被 动 的 分 析 方 法 ,最 好 能 和 主动 分 析 结 合 。 所 以 ,入 侵 检测 产 
品 以 后 发 展 的 方向 是 集成 网 管 .扫描 器 、 嗅 探 器 等 功能 。 

4. 安全 性 和 易 用 性 的 提高 

入 侵 检测 是 个 安全 防护 产品 ,自身 安全 极为 重要 。 因 此 ,目前 的 人 侵 检测 产品 大 多 采用 
硬件 结构 ,黑洞 式 接 和 人 ,以 免除 自身 安全 问题 。 同 时 ,入 侵 检 测 产品 对 易 用 性 的 要 求 也 日 益 
增强 ,如 全 中 文 的 图 形 界面 、 自 动 的 数据 库 维护 、 多 样 的 报表 输出 。 这 些 都 是 优秀 入 侵 检 测 
产品 的 特性 和 以 后 继续 发 展 细 化 的 趋势 。 

5. 改进 对 大 数据 量 网 络 的 处 理 方法 

随 着 对 大 数据 量 处 理 的 要 求 ,入 侵 检测 的 性 能 要 求 也 逐步 提高 ,出现 了 千 兆 入 侵 检 测 等 
产品 。 但 如 果 入 侵 检 测 产品 不 仅 具备 攻击 分 析 功 能 ,同时 具备 内 容 恢复 和 网 络 审计 功能 , 则 
其 存储 系统 一 般 工 作 在 千 兆 环境 以 上 。 这 种 情况 下 ,网 络 数据 分 流 也 是 一 个 很 好 的 解决 方 
案 , 性 价 比较 高 ,这 也 是 国际 上 较 通 用 的 一 种 做 法 。 

6. 防火 墙 联动 功能 

入 侵 检 测 发 现 攻 击 ,自动 发 送 给 防火 墙 , 防 火 墙 加 载 动态 规则 拦截 入 侵 , 称 为 防火 墙 联 
动 功能 。 目 前 此 功能 还 没有 到 完全 实用 的 阶段 ,主要 是 一 种 概念 ,随便 使 用 会 导致 很 多 问 
题 。 目 前 该 功能 主要 的 应 用 对 象 是 自动 传播 的 攻击 ,如 Nimda 等 ,联动 只 在 这 种 场合 有 一 
定 的 作用 。 无 限制 地 使 用 联动 ,如 未 经 充分 测试 ,对 防火 墙 的 稳定 性 和 网 络 应 用 会 造成 负面 
影响 。 但 随 着 人 侵 检测 产品 检测 准确 度 的 提高 ,联动 功能 日 益 趋向 实用 化 。 
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7.6 入 侵 检测 系统 示例 


为 了 直观 地 理解 入侵 检测 的 使 用 ,配置 等 情况 ,下面 以 Snort 为 例 对 构建 以 Snort 为 基 
础 的 入 侵 检测 系统 进行 介绍 。 

Snort 是 开源 、 高 度 可 配置 且 可 移植 的 基于 主机 或 基于 网 络 的 IDS。Snort 被 称 为 是 轻 
量 级 IDS, 它 具有 以 下 特征 : 

(1) 可 以 在 大 多 数 网 络 节点 (主机 、 服 务 器 和 路 由 器 ) 轻 松 地 部 署 。 

(2) 使 用 少量 的 内 存 和 处 理 时 间 进 行 高 效 操作 。 

(3) 系统 管理 员 可 以 容易 地 进行 配置 ,以 便 在 较 短 时 间 内 实现 特定 的 安全 解决 方案 。 

Snort 可 以 进行 实时 数据 包 的 捕获 、 协 议 分 析 以 及 内 容 搜索 与 匹配 。 根 据 一 组 由 系统 
管理 员 配 置 的 规则 ,Snort 能 够 检测 到 很 多 种 攻击 和 探测 。 


7.6.1 Snort 体 系 结 构 
一 个 Snort 包括 以 下 4 个 逻辑 组 件 ,如 图 7-6 所 示 。 


记录 器 (日 志 ) 


报警 器 


图 7-6 Snort 体系 结构 


(1) 数据 包 解码 器 (packet decoder) : 数据 包 解 码 器 处 理 每 个 捕获 的 数据 包 , 在 数据 链 
路 层 、 网 络 层 ,传输 层 和 应 用 层 识别 并 分 离 协 议 首 部 。 解 码 器 被 设计 为 尽 可 能 地 高 效 , 它 的 
主要 工作 包括 设置 指针 ,以 便 可 以 很 容易 地 提取 各 种 协议 首部 。 

(2) 检测 引擎 (detection engine) : 检测 引擎 完成 人 侵 检测 的 实际 工作 。 本 模块 基于 一 
组 由 安全 管理 员 配 置 的 Snort 规则 来 分 析 每 个 数据 。 从 本 质 上 讲 ,每 个 数据 包 依据 所 有 规 
则 进行 检查 ,以 确定 该 数据 包 是 否 与 根据 规则 定义 的 特征 相 匹 配 ,与 已 解码 的 数据 包 匹 配 的 
第 一 个 规则 触发 规则 指定 的 动作 ,如 果 没 有 规则 匹配 该 数据 包 , 则 检测 引擎 放弃 此 数据 包 。 

(3) 记录 器 (logger) : 对 于 每 个 与 规则 匹配 的 数据 包 , 该 规则 指定 什么 日 志和 报警 选项 是 
要 执行 的 。 当 选 定 一 个 记录 器 选项 时 ,记录 器 存储 检测 到 的 数据 包 以 可 读 格 式 或 更 加 紧凑 的 
二 进 制 格式 存储 在 指定 的 日 志文 件 中 ,然后 安全 管理 员 可 以 使 用 日 志文 件 进行 以 后 的 分 析 。 

(4) 报警 器 (alerter) : 对 于 每 个 检测 到 的 数据 包 ,发 送 一 个 警报 。 匹 配 规则 中 的 报警 选 
项 确定 事件 通知 中 包括 哪些 信息 。 事 件 通知 可 以 发 送 到 文件 .UNIX 套 接 字 或 者 数据 库 。 
警报 也 可 以 在 测试 或 渗透 研究 期 间 关闭 ,使 用 UNIX 套 接 字 , 可 以 将 通知 发 送 到 网 络 上 其 
他 地 方 的 管理 机 。 


7.6.2 Snort 规则 
Snort 使 用 一 种 简单 .灵活 的 规则 来 定义 生成 检测 引擎 使 用 的 规则 的 语言 。 尽 管 规则 


非常 简单 ,可 以 直接 编写 ,但 它们 的 功能 可 以 检测 各 种 恶意 或 可 疑 的 网 络 流量 。Snort 规则 


格式 如 图 7-7 所 示 。 


动作 


协议 


源 IP 地 址 


源 端 口 


方向 


目的 IP 地 址 


目的 端口 


选项 关键 字 


选项 参数 


图 7-7 Snort 规则 格式 


每 个 规则 包括 一 个 固定 的 首部 和 0 个 或 多 个 选项 ,首部 包含 以 下 元 素 。 
(1) 动作 (action): 规则 动作 告诉 Snort 当 它 找到 符合 规则 条 件 的 数据 包 时 应 如 何 去 
做 。 表 7-1 列 出 了 可 用 的 动作 。 列 表 中 的 最 后 三 个 动作 只 在 内 内 模式 下 可 用 。 


表 7-1 Snort 规则 动作 


动 作 说 明 

alert 使 用 所 选 的 报警 方式 生成 警报 ,再 将 数据 包 写 人 日 志 

log 将 数据 包 写 人 日 志 

pass 忽略 数据 包 

activate 报警 后 再 激活 另 一 个 dynamic 规则 

dynamic 保持 空闲 直到 被 activate 规则 激活 ,然后 作为 log 规则 

drop 使 iptables 丢弃 数据 包 并 写 入 日 志 

reject 使 iptables 丢弃 数据 包 , 记 入 日 志 , 并 发 送 数 据 ,如 果 协 议 是 TCP, 发 送 TCP 重 
置 ; 如 果 协 议 是 UDP, 则 发 送 ICMP 端口 不 可 达 消息 

sdrop 使 iptables 丢弃 数据 包 但 不 写 入 日 志 


(2) 协议 (prococol) : Snort 继续 分 析 数 据 包 协议 是 否 匹 配 这 个 字段 。Snort 的 目前 版 
本 支持 4 个 协议 ,包括 TCP、UDP、ICMP 和 IP。Snort 的 未 来 版 本 将 支持 更 多 的 协议 。 

(3) 源 IP 地 址 (source IP address): 指明 数据 包 的 源 。 该 规则 可 以 指定 特定 的 IP 地 
址 ,任何 IP 地址 和 特定 的 IP 地 址 列表 ,或 者 拒绝 特定 的 IP 地 址 或 IP 地址 列表 。 拒 绝 表 示 
在 列表 之 外 的 任何 IP 地 址 都 是 匹配 的 。 

(4) 源 端 口 (source port) : 该 字段 指出 用 于 指定 协议 的 源 端 口 (如 TCP 端口 ) 可 以 以 多 


种 方式 指定 端口 号 ,包括 特定 端口 号 .任何 端口 .静态 端口 定义 、 端 口 范 目 


习 和 拒绝 某 些 端口 。 


(5) 方向 (direction) : 该 字段 采用 单 向 或 双向 选项 ,双向 选项 告诉 Snort 应 该 将 规则 中 
的 地 址 /端口 对 理解 为 前 面 是 源 后 面 是 目的 ,或 者 前 面 是 目的 后 面 是 源 。 利 用 双向 选项 ， 
Snort 能 够 监控 对 话 的 双方 。 
(6) 目的 IP 地 址 (Cdestination IP address) : 指明 数据 包 的 目的 地 址 。 
(7) 目的 端口 (destination port) : 指明 目的 端口 。 
在 规则 首部 之 后 可 以 有 一 个 或 多 个 规则 选项 。 每 个 选项 由 选项 关键 字 组 成 ,关键 字 定 
义 选项 ; 后 面 跟着 参数 ,指定 选项 的 详细 信息 。 在 书面 形式 中 ,规则 选项 集 被 括 在 括号 中 与 


首部 分 开 。Snort 规则 选项 用 分 号 分 隔 ,规则 选项 关键 字 与 其 参数 用 骨 号 分 隔 。 


Snort 有 以 下 4 个 主要 类 别 的 规则 选项 。 
(1) 元 数据 (meta-data) : 提供 关于 规则 的 信息 ,但 在 检测 期 间 不 起 任何 作用 。 
(2) 有 效 载 荷 (payload) : 查找 有 效 载荷 数据 包 中 的 数据 ,可 以 是 相关 的 。 
(3) 非 有 效 载荷 Cnon-payload) : 查找 非 有 效 载荷 数据 。 
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(4) 后 检测 (postrdetection) : 当 规则 匹配 一 个 数据 包 后 引发 的 特定 规则 。 
7.6.3 Snort 的 安装 与 使 用 


1. Snort 的 安装 模式 

Snort 可 安装 为 守护 进程 模式 ,也 可 安装 为 包括 很 多 其 他 工具 的 完整 的 入 侵 检测 系统 。 
简单 方式 安装 Snort 时 ,可 以 得 到 入 侵 数据 的 文本 文件 或 二 进 制 文件 ,然后 用 文本 编辑 器 等 
工具 进行 查看 。 在 这 种 安装 模式 下 ,Snort 可 将 警报 信息 以 SNMP trap 的 形式 发 送 到 类 似 
于 HP OpenView 或 OpenNMS 之 类 的 网 管 系统 上 ,也 可 以 SMP 弹出 窗口 的 形式 发 送 到 运 
行 Windows 操作 系统 的 计算 机 上 。 

Snort 若 与 其 他 工具 一 起 安装 , 则 可 以 支持 更 为 复杂 的 操作 。 例 如 ,将 Snort 数据 发 送 
给 数据 库 系统 ,从 而 支持 通过 Web 界面 进行 数据 分 析 , 以 增强 对 Snort 捕获 数据 的 直观 认 
识 , 避 免 耗费 大 量 时 间 查 阅 日 志文 件 。 

2. Snort 的 简单 安装 

Snort 的 安装 程序 包括 Linux 平台 程序 和 Windows 平台 程序 ,所 有 安装 程序 可 以 在 
Snort 官方 网 站 上 获取 。Linux 平台 下 通常 使 用 源 代码 包 的 形式 进行 安装 ,可 以 方便 进行 参 
数 配置 ,下 面 介 绍 Linux 平台 下 Snort 源 代码 包 的 简单 安装 方法 。 

1) 安装 Snort 

Snort 的 正常 运行 必须 要 有 libpcap 库 的 支持 ,因此 在 安装 Snort 之 前 需要 确认 系统 已 
经 安装 了 libpcap 库 , 若 示 安装 ,可 以 到 官方 网 站 下 载 。 

[root@ mail snort ~ 2.8.0]# ./configure - - enable— dynamicplugin 


[root@ mail snort — 2.8.0]# make 
[root@ mail snort — 2.8.0]# make install 


其 中 ,- -enable-dynamicplugin 是 为 了 产生 /usr/local/lib/snort_dynamicpreprocessor/ 这 个 
目录 ,否则 启动 snort 为 Network Intrusion Detection System Mode 模式 时 会 出 现 如 下 错误 : 


FATAL ERROR: /etc/snort/snort.conf(183) = > Unknown rule type: dynamicpreprocessor 


更 多 安装 选项 请 参阅 doc/INSTALL 文件 。 
2) 更 新 Snort 规则 
下 载 最 新 的 规则 文件 snortrules-snapshot-CURRENT. tar. gz。 其 中 ,CURRENT 表示 
最 新 的 版 本 号 。 
root@ mail snort]# mkdir /etc/snort 
root@ mail snort]# cd /etc/snort 
Toot(@ mail snort]# tar zxvf /path/to/snortrules - snapshot - CURRENT. tar. gz 
3) 配置 Snort 
建立 config 文件 目录 : 


root@ mail snort ~ 2.8.0]# mkdir/etc/snort 


复制 Snort 配置 文件 snort. conf 到 Snort 配置 目录 : 


root(@ mail snort— 2.8.0]# cp./etc/snort.conf/etc/snort/ 


编辑 snort. conf : 
[root@ mail snort - 2.8.0]# vi/etc/snort/snort. conf 
修改 后 ,一些 关键 设置 如 下 : 


Var HOME NET yournetwork 

var RULE PATH /etc/snort/rules 

Preprocessor http_inspect: global 

iis_unicode map /etc/snort/rules/unicode. map 1252 
include /etc/snort/rules/reference. config 


include /etc/snort/rules/classification. config 
4) 测试 Snort 
# /usr/local/bin/snort -Rfast -b -d-D -1 /var/log/snort -c /etc/snort/snort. conf 


查看 文件 /var/log/messages, 若 没有 错误 信息 , 则 表示 安装 成 功 。 
5) 将 日 志 写 人 mysql 数据 库 
建立 数据 库 : 


第 echo "CREATE DATABASE snort;" | mysql ~ uroot —p 

建立 表 ( 使 用 schemas/create_mysql 文件 ) : 

% mysql —D snort 一 u root -p<./schemas/create mysql 

建立 用 户 及 权限 : 

mysql > set password for 'snortusr '(@'localhost' = password( 'mypassword') 
修改 snort. conf 文件 : 


output database: log,mysql,user = snortusr password = mypassword dbname = snort host = localhost 


3. Snort 的 工作 模式 

Snort 有 三 种 工作 模式 , 即 嗅 探 器 .数据 包 记录 器 及 网 络 人 侵 检 测 系统 。 嗅 探 器 模式 仅 
从 网 络 上 读 取 数据 包 并 不 断 地 显示 在 终端 上 ; 数据 包 记 录 器 模式 则 把 数据 包 记 录 到 硬盘 
上 ; 网 络 人 侵 检测 模式 最 为 复杂 ,而 且 可 配置 。 

1) 嗅 探 器 

所 谓 的 嗅 探 器 模式 就 是 Snort 从 网 络 上 获取 数据 包 然 后 显示 在 控制 台 上 。 若 只 把 
TCP/IP 包头 信息 打印 在 屏幕 上 , 则 只 需要 执行 下 列 命 令 : 

./snort —v 

若 显示 应 用 层 数据 , 则 执行 : 

./snort — vd 


若 同 时 显示 数据 链 路 层 信息 , 则 执行 : 


./snort - vde 
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2) 数据 包 记录 器 
如 果 要 把 所 有 的 数据 包 记录 到 硬盘 上 , 则 需要 指定 一 个 日 志 目录 ,Snort 将 会 自动 记录 
数据 包 : 


./snort - dev -1 ./log 


当然 ,. /log 目录 必须 存在 ,否则 Snort 就 会 报告 错误 信息 并 退出 。 当 Snort 在 这 种 模 
式 下 运行 时 , 它 会 记录 所 有 捕获 的 数据 包 , 并 将 其 放 到 一 个 目录 中 ,该 目录 以 数据 包 目 的 主 
机 的 IP 地 址 命名 ,如 192. 168. 8. 112。 

如 果 网 络 速度 很 快 , 或 者 希望 日 志 更 加 紧凑 以 便 事 后 分 析 , 则 应 该 使 用 二 进 制 日 志文 件 
格式 。 使 用 下 面 的 命令 可 以 把 所 有 的 数据 包 记录 到 一 个 单一 的 二 进 制 文件 中 


./snort -1./log -b 


随后 可 以 使 用 任何 支持 tcpdump 二 进 制 格式 的 嗅 探 器 程序 从 该 文件 中 读 出 数据 包 , 如 
tcpdump 或 者 Ethereal。 使 用 -r 功能 开关 ,也 可 使 Snort 读 出 包 中 的 数据 。Snort 在 所 有 运 
行 模式 下 都 能 够 处 理 tcpdump 格式 的 文件 。 

对 于 希望 在 嗅 探 器 模式 下 把 一 个 tcpdump 格式 的 二 进 制 文件 内 容 显示 到 屏幕 上 ,可 以 
输入 下 面 的 命令 : 


./snort - dv —r packet. log 


在 数据 包 和 入侵 检测 模式 下 ,通过 BPF 接口 可 以 使 用 多 种 方式 维护 日 志文 件 中 的 数 
据 。 例 如 ,希望 从 日 志文 件 中 提取 ICMP 包 , 只 需要 输入 下 面 的 命令 行 : 


./snort - dvr packet. 1og icmp 


3) 网 络 人 侵 检测 系统 
通过 下 面 命令 行 ,可 以 将 Snort 启动 为 网 络 人 侵 检测 系统 模式 : 


./snort - dev -1 ./log -h192.168.8.0/24 - c snort. conf 


snort. conf 是 规则 集 文件 。Snort 会 将 每 个 包 和 规则 集 进 行 匹配 ,一 旦 匹配 成 功 就 会 采 
取 响 应 措施 。 若 不 指定 输出 目录 .Snort 就 将 日 志 输出 到 /var/log/snort 目录 。 

在 网 络 人 侵 检测 模式 下 ,可 以 有 多 种 方式 配置 Snort 的 输出 。 在 默认 情况 下 ,Snort 以 
ASCII 格式 记录 日 志 , 使 用 full 报警 机 制 。 如 果 使 用 full 报警 机 制 ,Snort 会 在 包头 之 后 打 
印 报警 消息 。 如 果 不 需 要 日 志 包 ,可 以 使 用 -N 选项 进行 关闭 。 

Snort 有 六 种 报警 机 制 : full、fast、socket、syslog、smb 和 none。 其 中 下 列 4 个 机 制 可 
以 在 命令 状态 下 使 用 -A 选项 进行 设置 。 

(1) -A fast: 报警 信息 包括 时 间 截 .报警 消息 ` 源 /目的 IP 地 址 和 端口 。 

(2) -A full: 默认 报警 模式 。 

(3) -A socket: 把 报警 信息 发 送 到 一 个 UNIX 套 接 字 。 

(4) -A none: 关闭 报警 机 制 。 

使 用 -s 选项 可 以 使 Snort 把 报警 消息 发 送 到 syslog ,默认 的 设备 是 LOG_AUTHPRIV 
和 LOG_ALERT。 可 以 修改 snort. conf 文件 更 改 其 配置 。 

Snort 还 可 以 使 用 SMB 报警 机 制 ,通过 SAMBA 把 报警 消息 发 送 到 Windows 主机 。 
为 了 使 用 这 个 报警 机 制 ,在 运行 . /configure 脚本 时 ,必须 使 用 --enable-smbalerts 选项 。 
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一 、 填 空 题 
1. CIDF 模型 将 入 侵 检 测 系统 分 为 事件 产生 器 、( ) 、 响 应 单元 和 事件 数据 库 4 个 
组 件 。 
2. 入 侵 检 测 系统 一 般 包括 ( 。”) ,分 析 模 块 和 管理 模块 三 个 部 分 。 
3. 入 侵 检测 系统 分 析 模 块 一 般 通 过 ( ) 统计 分 析 和 完整 性 分 析 三 种 技术 进行 
分 析 。 
4.( ) 又 称 为 基于 行为 的 入 侵 检 测 技术 ,用 来 识别 主机 或 网 络 的 异常 行为 。 
Ss ) 的 检测 技术 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ,在 给 定 一 个 输入 
后 ,就 可 能 预测 出 输出 。 
二 、 选 择 题 
1. 以 下 不 是 产生 入 侵 检 测 系统 的 原因 的 是 ( 》 
A. 与 攻击 有 关 的 信息 流 无 处 不 在 
B. 攻击 行为 与 正常 访问 过 程 存在 差距 
C. 杀毒 软件 不 具有 发 现 非法 资源 访问 操作 的 功能 
D. 控制 网 络 间 数 据 交 换 过 程 
2. 关于 入 侵 检测 系统 ,以 下 描述 错误 的 是 ( )5 
A. 一 般 的 人 侵 检测 系统 和 杀毒 软件 一 样 , 需 要 定时 更 新 攻击 特征 库 
B. 正常 访问 过 程 和 入 侵 过 程 存在 差异 ,但 无 法 严格 区 分 
C. 规则 是 长 期 观察 信息 流 变 化 过 程 后 得 出 的 一 些 规律 性 的 总 结 
D. 入 侵 检 测 系统 能 够 检测 出 没有 发 作 的 病毒 
3. 以 下 关于 入 侵 检 测 系 统 功 能 的 描述 错误 的 是 (。”)。 


A. 防御 病毒 发 作 引发 的 攻击 行为 B. 防御 对 资源 的 非法 访问 

C. 防御 分 布 式 拒绝 服务 攻击 D. 防御 信息 嗅 探 和 截获 攻击 
4. 人 侵 检测 系统 能 够 防御 的 攻击 行为 是 ( 届 

A. 路 由 项 欺骗 攻击 B. 重 放 攻 击 

C. DNS 欺骗 攻击 D. 源 IP 地 址 欺骗 攻击 


. 入 侵 检 测 的 目的 是 ( 
A. 实现 内 外 网 隔离 与 访问 控制 
B. 提供 实时 的 检测 及 采取 相应 的 防护 手段 
C. 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 
D. 预防 ,检测 和 消除 病毒 
6. 关于 入 侵 检测 系统 功能 ,以 下 描述 错误 的 是 (  )。 
A. 捕获 流 经 关键 链 路 的 信息 流 B. 发 现 攻 击 行 为 
C. 反 制 攻击 行为 D. 预防 攻击 行为 
7. 不 是 入 侵 检测 系统 通用 框架 中 的 构件 的 是 ( )。 
A. 事件 发 生 器 B. 事件 分 析 器 C. 事件 数据 库 D. 事件 捕获 器 


a 


8. 关于 基于 主机 的 人 侵 检测 系统 .以 下 描述 错误 的 是 (  )。 
A. 利用 攻击 特征 库 发 现 攻 击 行 为 
B. 根据 访问 授权 发 现 非法 资源 访问 过 程 
C. 禁止 非法 TCP 连接 建立 
D. 保证 主机 不 感染 病毒 
9. 异常 检测 IDS 使 用 ( ) 方 法 进行 分 析 。 


A. 模式 匹配 B. 统计 分 析 C. 完整 性 分 析 D. 可 用 性 分 析 
10. 误 用 检测 IDS 的 特点 是 ( Ks 

A. 误 报 低 \ 漏 报 高 B. 误 报 高 、 漏 报 低 

C. 误 报 低 、 漏 报 低 D. 误 报 高 . 漏 报 高 
三 、 判断 题 


1. 入 侵 检 测 系统 是 一 种 积极 主动 的 安全 防护 技术 。 
2. 人 侵 检测 系统 的 采集 模块 主要 用 来 信息 收集 ,收集 的 内 容 包 括 系 统 、 网 络 、 数 据 及 用 


户 活动 的 状态 和 行为 。 


3. 模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 进 行 比较 ， 


从 而 发 现 违背 安全 策略 的 行为 。 


4. 基于 网 络 的 入 侵 检 测 系统 具有 可 以 确定 攻击 是 否 成 功 的 优点 。 
5. 基于 网 络 的 人 侵 检 测 系统 只 能 检查 它 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 


数据 包 。 


6. 异常 检测 是 一 个 “学习 正 常 ,发现 异常 ?的 过 程 , 它 的 主要 特点 体现 在 学 习 过 程 中 。 
7. 基于 概率 统计 的 检测 技术 是 异常 和 人 侵 检测 中 最 常用 的 技术 , 它 对 用 户 历 史 行为 建立 


8. 误 用 检测 是 一 个 “总 结 入 侵 特征 ,确定 攻击 ”的 过 程 , 它 的 主要 特点 体现 在 特征 库 的 


9. 入侵 检测 系统 可 以 弥补 安全 防御 系统 中 的 安全 缺陷 和 漏洞 。 

10. Snort 是 开源 、 高 度 可 配置 且 可 移植 的 基于 主机 或 基于 网 络 的 IDS。 

四 、 简 答题 

1. 根据 入 侵 检测 系统 的 检测 对 象 的 不 同 , 入 侵 检 测 系统 主要 分 为 哪 两 类 ? 这 两 类 入 侵 


检测 系统 的 数据 源 分 别 是 什么 ? 


2. 基于 主机 的 入 侵 检 测 系统 的 优点 是 什么 ? 


击 沁 沽 


入 保 枪 测 投 太 


第 8 章 密 码 学 


【本 章 学 习 目 标 】 

。 了解 密码 系统 的 组 成 

。 了解 密码 体制 分 类 

。 理解 对 称 加 密 体制 与 非 对 称 加 密 体制 
。 掌握 DES 和 RSA 加 密 技 术 

。 了 解 信息 加 密 体制 应 用 


8.1 密码 学 概述 


8.1.1 密码 学 基本 概念 


密码 学 是 研究 如 何 实现 秘密 通信 的 科学 , 它 包括 两 个 分 支 , 即 密码 编码 学 和 密码 分 析 学 。 

密码 编码 学 是 关于 消息 保密 的 技术 和 科学 。 密 码 编码 学 是 密码 体制 的 设计 学 , 即 怎样 编 
码 ,采用 什么 样 的 密码 体制 保证 信息 被 安全 地 加 密 。 从 事 此 行业 的 人 员 被 称 为 密码 编码 者 。 

密码 分 析 学 是 与 密码 编码 学 相对 应 的 技术 和 科学 , 即 研究 如 何 破译 密 文 的 科学 和 技术 。 
密码 分 析 学 是 在 未 知 密 钥 的 情况 下 从 密 文 推出 明文 或 密 钥 的 技术 。 密 码 分 析 者 是 从 事 密码 
分 析 的 专业 人 员 。 


8.1.2 现代 密码 系统 的 组 成 


现代 密码 系统 (一 般 简 称 为 密码 体制 ) 一 般 由 以 下 5 个 部 分 组 成 。 

(1) 明文 空间 M: 它 是 全 体 明文 的 集合 , 记 为 M 二 [Mi ,M: ,…,M,]。 明 文 用 M( 消 息 ) 
或 P( 明 文 ) 表 示 , 它 一 般 是 比特 流 , 明 文 可 被 传送 或 存储 ,无 论 在 哪 种 情况 下 ,M 均 指 待 加 密 
的 消息 。 

(2) 密 文 空间 C: 它 是 全 体 密 文 的 集合 , 记 为 C= 二 [Ci,C;,…,C, ]。 明 文 加 密 后 的 形式 
为 密 文 。 

(3) 密 钥 空间 K: 它 是 全 体 密 钥 的 集合 。 加 密 和 解密 操作 在 密 钥 的 控制 下 进行 。 密 钥 
空间 K 通常 由 加 密 密 钥 和 解密 密 钥 组 成 , 即 K=(K. ,Ka)。 

(4) 加 密 算 法 E: 它 是 一 族 由 M 到 C 的 加 密 变 换 , 对 于 每 一 个 具体 的 K.,E 确定 出 一 
个 具体 的 加 密 函 数 , 把 M 加 密 成 密 文 C, 通 常 记 为 C 二 E(M.K.) 或 C=Ex.(M)。 

(5) 解密 算法 D: 它 是 一 族 由 C 到 M 的 解密 变换 ,对 于 每 一 个 确定 的 Ka,D 确定 出 一 
个 具体 的 解密 函数 ,把 密 文 C 恢复 为 M, 通 常 记 为 M 一 D(C,Ka) 或 M= Dka(CC) 。 


一 个 有 意义 的 密码 系统 应 当 满足 的 条 件 为 : 对 于 每 一 确定 的 密 钥 K 一 (K., Ks), 有 
M=D(CC,Ku)= DIE(M,K。) ,Ku) ,或 记 为 M= Drsa (Exe(M))。 一 般 地 ,密码 系统 的 模型 可 
用 图 8-1 表示 。 


明文 P 加 密 E 密 文 C 解密 D 明文 P 
| aig | 
加 密 密 钥 K。 解密 密 钥 Ka 


图 8-1 一 般 密码 系统 示意 图 


8.1.3 密码 算法 的 安全 性 


根据 被 破译 的 难 易 程度 ,不 同 的 密码 算法 具有 不 同 的 安全 等 级 。 如 果 破 译 算法 的 代价 
大 于 加 密 数 据 的 价值 ,那么 算法 可 能 是 安全 的 ; 如 果 破 译 算 法 所 需 的 时 间 比 加 密 数据 的 时 
间 更 长 ,那么 算法 可 能 是 安全 的 ; 如 果 用 单 密 钥 加 密 的 数据 量 比 破译 算法 需要 的 数据 量 少 
得 多 ,那么 算法 可 能 是 安全 的 。 

这 里 说 “可 能 ”是 因为 在 密码 分 析 中 总 有 新 的 突破 。 在 另 一 方面 ,大 多 数 数据 随 着 时 间 
的 推移 ,其 价值 会 越 来 越 小 ,这 点 是 很 重要 的 。 

Lars Knudsen 把 破译 算法 分 为 不 同 的 类 别 , 按 安全 性 的 递减 顺序 可 分 为 ， 

(1) 全 部 破译 。 密 码 分 析 者 找 出 密 钥 KK, 这 样 Dk(CC) 王 M。 

(2) 全 盘 推 导 。 密 码 分 析 者 找到 一 个 代替 算法 A, 在 不 知道 密 钥 K 的 情况 下 ,等 价 于 
Drk(C) 一 M。 

(3) 实例 推导 。 密 码 分 析 者 从 截获 的 密 文中 找 出 明文 。 

(4) 信息 推导 。 密 码 分 析 者 获得 一 些 有 关 密 钥 或 明文 的 信息 。 这 些 信息 可 能 是 密 钥 的 
几 个 比特 、 有 关 明 文 格式 的 信息 等 。 


8.2 密码 体制 分 类 


密码 体制 从 原理 上 可 分 为 两 大 类 , 即 单 钥 ( 对 称 密码 体制 ) 和 双 钥 ( 非 对 称 密码 体制 ) 。 
在 传统 的 对 称 加 密 系 统 中 ,加 密 用 的 密 钥 与 解密 用 的 密 钥 是 相同 的 , 密 钥 在 通信 中 需要 严格 
保密 。 在 非 对 称 加 密 系 统 中 ,加 密 用 的 公 钥 与 解密 用 的 私 钥 是 不 同 的 ,加 密 用 的 公 钥 可 以 向 
大 家 公开 ,而 解密 用 的 私 钥 是 需要 保密 的 。 


8.2.1 对 称 加 密 体 制 


对 称 加 密 技 术 对 信息 的 加 密 与 解密 都 使 用 相同 的 密 钥 ,因此 又 称 为 私 钥 密 码 技 术 。 使 
用 对 称 加 密 方法 ,加 密 方 与 解密 方 必须 使 用 同一 种 加 密 算 法 和 相同 的 密 钥 。 

图 8-2 给 出 了 对 称 加 密 的 原理 示意 图 。 对 称 加 密 体制 的 基本 元 素 包 括 原始 的 明文 、 加 
密 算法 、 密 钥 、 密 文 。 

只 要 通信 双方 能 确保 密 钥 在 交换 阶段 未 泄露 ,那么 就 可 以 保证 信息 的 机 密 性 与 完整 性 。 
对 称 加 密 技术 存在 着 通信 双方 之 间 确 保密 钥 安 全 交换 的 问题 。 如 果 一 个 用 户 同时 与 N 个 其 


穿 码 学 


才 oo 台 


网 络 安 会 基础 


BS 
图 8-2 ”对称 加 密 体制 原理 示意 图 


他 用 户 进行 通信 时 ,每 个 用 户 对 应 一 个 密 钥 ,那么 他 就 需要 维护 N 个 密 钥 。 当 网 络 中 及 个 
用 户 之 间 进 行 加 密 通 信 时 , 则 需要 有 NCN 一 1) 个 密 钥 ,才能 保证 任意 两 方 之 间 的 通信 。 

在 对 称 加 密 体 系 中 加 密 方 和 解密 方 使 用 相同 的 密 钥 ,系统 的 保密 性 主要 取决 于 密 钥 的 安 
全 性 。 因 此 , 密 钥 在 加 密 方 和 解密 方 之 间 的 传递 和 分 发 必须 通过 安全 通道 进行 ,在 公共 网 络 上 
使 用 明文 传递 密 钥 是 不 合适 的 。 如 果 密 钥 没有 以 安全 方式 传送 ,那么 黑客 就 很 可 能 非常 容易 
地 截获 密 钥 。 如 何 产生 满足 保密 需要 的 密 钥 ,如 何 安全 .可 靠 地 传送 密 钥 是 十 分 复杂 的 问题 。 

对 称 加 密 体制 的 优点 主要 体现 在 其 加 密 、 解 密 处 理 速度 快 . 保 密度 高 等 ,其 缺点 主要 体 
现在 以 下 方面 。 

(1) 密 钥 是 保密 通信 安全 的 关键 ,发 信 方 必须 安全 .妥善 地 把 密 钥 护送 到 收 信 方 ,不 能 
泄漏 其 内 容 。 如 何 才能 把 密 钥 安全 地 送 到 收 信 方 ,是 单 钥 密码 算法 的 突出 问题 。 单 钥 密 码 
算法 的 密 钥 分 发 过 程 十 分 复杂 ,所 花 代价 很 高 。 

(2) 多 人 通信 时 密 钥 组 合 的 数量 会 出 现 爆炸 性 膨胀 ,使 密 钥 分 发 更 加 复杂 化 。n 个 人 
进行 两 两 通信 ,总 共 需 要 的 密 钥 数 为 n(n 一 1)/2 个。 

(3) 通信 双方 必须 统一 密 钥 ,才能 发 送 保密 的 信息 。 如 果 发 信者 与 收 信者 素 不 相识 ,就 
无 法 向 对 方 发 送 秘密 信息 了 。 

(4) 除了 密 钥 管理 与 分 发 问题 , 单 钥 密码 算法 还 存在 数字 签名 困难 的 问题 。 通 信 双 方 
拥有 同样 的 消息 ,接收 方 可 以 伪造 签名 ,发 送 方 也 可 以 否认 发 送 过 某 消息 。 

数据 加 密 标 准 DES 是 最 典型 的 对 称 加 密 算法 , 它 是 由 IBM 公司 推出 ,经 过 国际 标准 化 
组 织 认 定 的 数据 加 密 的 国际 标准 。DES 算法 采用 了 64 位 密 钥 长 度 , 其 中 8 位 用 于 奇偶 校 
验 ,用 户 可 以 使 用 其 余 的 56 位 。DES 算法 并 不 是 非常 安全 的 ,入 侵 者 使 用 运算 能 力 足够 强 
的 计算 机 ,对 密 钥 逐个 尝试 就 可 以 破译 密 文 。 但 是 破译 密码 需要 很 长 时 间 , 只 要 破译 的 时 间 
超过 密 文 的 有 效 期 ,加 密 就 是 有 效 的 。 目 前 已 经 有 一 些 比 DES 算法 更 安全 的 对 称 加 密 算 
法 ,如 IDEA 算法 .RC2 算法 .RC4 算法 等 。 


8.2.2 非 对 称 加 密 体 制 


非 对 称 加 密 技 术 对 信息 的 加 密 与 解密 使 用 不 同 的 密 钥 ,用 来 加 密 的 密 钥 是 可 以 公开 的 
公 钥 ,用 来 解密 的 密 钥 是 需要 保密 的 私 钥 , 因 此 又 被 称 为 公 钥 加 密 技 术 。 

在 1976 年 ,Diffie 与 Hellman 提出 了 公 钥 加 密 的 思想 ,加 密 用 的 公 钥 与 解密 用 的 私 钥 
不 同 , 公 开 加 密 密 钥 不 至 于 危及 解密 密 钥 的 安全 。 图 8-3 给 出 了 非 对 称 加 密 体制 的 原理 示 
意图 。 用 来 加 密 的 公 钥 (public key) 与 解密 的 私 钥 (private key) 是 数学 相关 的 ,并 且 加 密 公 
钥 与 解密 私 钥 是 成 对 出 现 的 ,但 是 不 能 通过 加 密 公 钥 来 计算 出 解密 私 钥 。 


公 钥 私 钥 


多 


人 ~/ | 人 ~/ 1 人 ~/ 
加 密 过 程 Pa。 解密 过 程 
密 广 


明文 明文 


图 8-3 非 对 称 加 密 体制 的 原理 示意 图 


非 对 称 密 钥 密码 体制 在 现代 密码 学 中 是 非常 重要 的 。 按 照 一 般 的 理解 ,加 密 主 要 是 解 
决 信息 在 传输 过 程 中 的 保密 性 问题 。 但 是 还 存在 着 另 一 个 问题 , 那 就 是 如 何 对 信息 发 送 方 
和 接收 方 的 真实 身份 进行 验证 ,以 防止 用 户 对 所 发 出 信息 和 接收 信息 的 事后 抵赖 ,并 且 能 够 
保证 数据 完整 性 。 非 对 称 密 钥 密码 体制 对 这 两 个 方面 都 给 出 了 很 好 的 解决 方案 。 

在 非 对 称 密 钥 密码 体制 中 ,加 密 的 公 钥 与 解密 的 私 钥 是 不 相同 的 。 公 钥 是 公开 的 , 谁 都 
可 以 使 用 ,而 私 钥 只 有 解密 人 自己 知道 。 由 于 采用 了 两 个 密 钥 ,并 且 从 理论 上 可 以 保证 要 从 
公 钥 和 密 文中 分 析出 明文 和 解密 的 私 钥 是 不 可 能 的 。 那 么 以 公 钥 作为 加 密 密 钥 ,接收 方 使 
用 私 钥 解密 ,就 可 实现 由 多 个 用 户 发 送 的 密 文 只 能 由 一 个 持 有 解密 的 私 钥 的 用 户 解读 。 相 
反 , 如 果 以 用 户 的 私 钥 作为 加 密 密 钥 ,而 以 公 钥 作为 解密 密 钥 , 则 可 以 实现 由 一 个 用 户 加 密 的 
信息 由 多 个 用 户 解读 。 这 样 网 络 中 有 NN 个 用 户 之 间 进 行 加 密 通 信 时 ,不 再 需要 有 NCN 一 1) 
个 密 钥 ,并 可 以 用 于 数字 签名 。 

非 对 称 加 密 技术 可 以 大 大 简化 密 钥 的 管理 。 网 络 中 的 N 个 用 户 之 间 进 行 通信 加 密 , 仅 
仅 需 要 使 用 N 对 密 钥 即 可 ,而 且 用 于 解密 的 私 钥 不 需要 发 往 任 何 地 方 , 公 钥 在 传递 和 发 布 
过 程 中 即使 被 截获 ,由 于 没有 与 公 钥 相 匹 配 的 私 钥 ,截获 的 公 钥 对 入 侵 者 也 就 没有 太 大 的 意 
义 。 这 正 是 非 对 称 加 密 技 术 与 对 称 加 密 技 术 相 比 所 具有 的 优势 。 

公 钥 加 密 体制 的 优点 是 可 以 公开 加 密 密 钥 ,适应 网 络 的 开放 性 要 求 , 且 仅 需 保密 解密 密 
钥 , 所 以 密 钥 管理 问题 比较 简单 。 其 主要 缺点 是 加 密 算 法 复杂 ,加密 与 解密 的 速度 比较 慢 。 

RSA 体制 是 1978 年 由 Rivest、Shamir 和 Adleman 提出 的 一 个 公 钥 密码 体制 ,RSA 就 是 以 
其 发 明 者 姓名 的 首 字母 命名 的 。RSA 体制 被 认为 是 目前 为 止 理论 上 最 为 成 熟 的 一 种 公 钥 密 
码 体制 。RSA 体制 多 用 于 数字 签名 、 密 钥 管理 和 认证 等 方面 。1985 年 ,ElGamal 构造 了 一 种 
基于 离散 对 数 的 公 钥 密码 ,这 就 是 EIGamal 公 钥 体制 。ElGamal 公 钥 体制 的 密 文 不 仅 依赖 于 
待 加 密 的 明文 ,而 且 依 赖 于 用 户 选 择 的 随机 数 ,由 于 每 一 次 随机 数 都 是 不 同 的 ,因此 即使 加 密 
相同 的 明文 ,得 到 的 密 文 也 是 不 同 的 。 由 于 这 种 加 密 算法 的 不 确定 性 ,又 称 其 为 概率 加 密 体制 。 
目前 ,典型 的 公 钥 加 密 算法 还 有 Diffie- Hellman 密 钥 交 换 ,数据 签名 标准 DSS 椭圆 曲线 密码 等 。 


8.3 DES 对 称 加 密 技 术 


DES(Data Encryption Standard) 算 法 于 1977 年 得 到 美国 政府 的 正式 许可 ,是 一 种 用 
56 位 密 钥 来 加 密 64 位 数据 的 方法 。 


8.3.1 DES 算法 的 原理 


DES 算法 的 入 口 参 数 有 三 个 : Key、Data、Mode。 其 中 Key 为 8 个 字 节 共 64 位 ,是 


锭 码 汪 


地 oo 泊 


网 络 人 安全 基础 


DES 算法 的 工作 密 钥 : Data 也 为 8 个 字 节 64 位 ,是 要 被 加 密 或 被 解密 的 数据 ; Mode 为 
DES 的 工作 方式 ,有 加 密 和 解密 两 种 。 

DES 算法 的 原理 是 : 如 Mode 为 加 密 , 则 用 Key 去 把 数据 Data 进行 加 密 , 生 成 Data 的 
密码 形式 (64 位 ) 作 为 DES 的 输出 结果 ; 如 Mode 为 解密 , 则 用 Key 去 把 密码 形式 的 数据 
Data 解密 ,还 原 为 Data 的 明码 形式 (64 位 ) 作 为 DES 的 输出 结果 。 

在 通信 网络 的 两 端 ,双方 约定 一 致 的 Key, 在 通信 的 源 点 用 Key 对 核心 数据 进行 DES 
加 密 , 然 后 以 密码 形式 在 公共 通信 网 中 传输 到 通信 网 络 的 终点 ,数据 到 达 目 的 地 后 ,用 同样 
的 Key 对 密码 数据 进行 解密 , 便 再 现 了 明文 形式 的 核心 数据 。 这 样 就 保证 了 核心 数据 在 公 
共通 信和 网 中 传输 的 安全 性 和 可 靠 性 。 通 过 定期 在 通信 和 网络 的 源 端 和 目的 端 同 时 改 用 新 
Key, 便 能 进一步 提高 数据 的 保密 性 ,这 是 现在 网 络 金融 交易 的 流行 做 法 。 


8.3.2 DES 算法 的 实现 步骤 
DES 算法 实现 需要 三 个 步 又。DES 加 密 过 程 如 图 8-4 所 示 。 
输入 64 位 明文 


JP 置换 表 


了 
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迭代 16 次 1 
LAR! 
=Li @RR- Ky) (i=1,2,3,*…, 16) 
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IP 逆 置换 表 


输出 64 位 密 文 
图 8-4 ”DES 加 密 过 程 


第 1 步 : 初始 置换 。 对 给 定 的 64 位 的 明文 x, 首 先 通过 一 个 IP 置换 表 来 重新 排列 x,IP 
置换 表 如 表 8-1 所 示 , 从 而 构造 出 64 位 的 xm ,x 二 IP(x) 二 LRo ,其 中 L。 表示 x 的 前 32 位 ， 
R。 表示 xo 的 后 32 位 。IP 置换 表 如 表 8-1 所 示 。 

表 8-1 IP 置换 表 


58 50 12 34 26 18 10 60 52 44 36 28 20 12 4 


2 
62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 


57 49 41 33 25 17 9 59 51 43 35 27 19 让 3 


61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 入 


其 中 ,IP 置换 过 程 是 将 输入 64 位 明文 的 第 58 位 换 到 第 一 位 ,第 50 位 换 到 第 二 位 ,以 
此 类 推 ,最 后 一 位 是 原来 的 第 7 位 。 


(0 由 0 王 0,0 由 1 


28 位 为 Cu, 后 28 位 为 D。。PC1 选 位 如 表 8-2 所 示 。 


第 2 步 : 按照 规则 迭代 (迭代 16 次 ) 的 规则 为 
L; =R: 


R, =L;, 四 HR， ,Ki) 


(一 1,2,3，… 


,16) 


如 果 是 第 一 次 迭代 Li 二 Ro ,Ri 一 Lof(Ro ,Ki), 其 中 符号 昌 表 示 的 数学 运算 是 异 或 


1,1@0 


1,1®1 


1) 子 密 钥 K; 
假设 密 钥 为 ,长 度 为 64 位 ,但 是 其 中 第 8、16、24、32、40、48、64 位 用 作 奇 偶 校 验 位 ,实际 
上 密 钥 长 度 为 56 位 。K 的 下 标 i 的 取 值 范围 是 1~16, 用 16 轮 来 构造 。 构 造 过 程 如 图 8-5 所 示 。 


64 位 密 钥 字符 串 K 
PC1 变 换 
| 56 位 
28 位 | 1 28 位 
Co Do 
1 1 
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C D; 
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图 8-5 子 密 钥 生成 
首先 ,对 于 给 定 的 密 钥 KK, 应 用 PC1 变换 进行 选 位 , 选 定 后 的 结果 是 56 位 , 设 其 前 


0) ,f 表示 一 种 置换 函数 ,K; 是 子 密 钥 。 
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表 8-2 PC1 选 位 表 
57 49 41 33 25 i7 9 1 58 50 42 34 26 18 
10 吕 59 51 43 35 27 19 11 3 60 52 44 36 
63 55 47 39 31 23 15 和 62 54 46 38 30 22 
14 6 61 53 45 37 29 21 13 5 28 20 下 4 
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第 1 轮 : 第 一 列 是 LS ,第 二 列 是 LS; ,以 此 类 推 。LS, 是 左 移 的 位 数 。 对 Co 做 左 移 
LS 得 到 Ci ,对 Du 做 左 移 LS, 得 到 Di , 左 移 的 原理 是 所 有 二 进位 循环 左 移 。LS 移 位 表 如 
表 8-3 所 示 。 


表 8-3 LS 移 位 表 


然后 对 CiD, 应 用 PC2 进行 选 位 ,得 到 K, 。PC2 选 位 表 如 表 8-4 所 示 。 
表 8-4 PC2 选 位 表 


14 17 11 24 1 5 3 28 15 6 21 10 
23 29 12 4 26 8 16 ' 27 20 13 2 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 


第 2 轮 : 对 Ci、D, 做 左 移 LS2 得 到 C, 和 D, ,进一步 对 C:D, 应 用 PC2 进行 选 位 ,得 到 
K, 。 如 此 继续 ,分 别 得 到 K;,K,,…, Ki。 

2) 函数 f 

函数 {有 两 个 输入 : 32 位 的 Ri-， 和 48 位 K;,f 函数 的 处 理 流 程 如 图 8-6 所 示 。 
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图 8-6 函数 { 的 处 理 流程 


E 变换 的 算法 是 从 Ri-, 的 32 位 中 选取 某 些 位 ,构成 48 位 。 即 将 32 位 扩展 变换 为 
48 位 ,变换 规则 根据 下 位 选择 表 , 如 表 8-5 所 示 。 


表 8-5 下 位 选择 表 


22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 


将 正 的 选 位 结果 与 K; 做 异 或 操作 ,得 到 一 个 48 位 输出 。 分 成 8 组 ,每 组 6 位 ,作为 
8 个 S 盒 的 输入 。 每 个 S 盒 输出 4 位 , 共 32 位 。 

S 盒 的 工作 原理 是 : S 盒 以 6 位 作为 输入 ,而 以 4 位 作为 输出 ,现在 以 Sl 为 例 说 明 其 过 
程 。 假 设 输入 为 A 二 a1asasasasas , 则 azasaias 所 代表 的 数 是 0 一 15 之 间 的 一 个 数 , 记 为 上 一 
azasaias; 由 aas 所 代表 的 数 是 0 一 3 之 间 的 一 个 数 , 记 为 h=aaas。 在 Sl 的 h 行 ,k 列 找到 
一 个 数 B,B 在 0 一 15 之 间 , 它 可 以 用 4 位 二 进 制 表 示 ,为 B= 二 bibsbsb, ,这 就 是 Sl 的 输出 。 
S 盒 由 8 张 数据 表 组 成 ,如 表 8-6 所 示 。 


表 8-6 S 盒 
Sl 
14 4 13 2 15 11 8 3 10 6 12 5 0 
0 15 这 4 14 2 13 1 10 6 12 11 9 3 
4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 
15 12 8 2 4 1 到 5 11 3 14 10 0 6 13 
S2 
15 1 8 14 6 11 3 4 9 学 2 13 12 0 5 10 
3 13 1 7 15 2 8 14 12 0 1 10 6 $ 11 5 
0 14 4 11 10 4 13 5 8 12 6 9 3 2 15 
13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9 
S3 
10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 
13 4 9 3 4 6 10 2 8 5 14 12 11 15 
13 6 4 9 8 15 3 0 i 1 2 12 5 10 14 Ld 
1 10 13 0 6 9 8 4 15 14 3 11 5 2 12 
S4 
7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15 
13 8 11 5 6 15 0 3 4 轨 2 12 1 10 14 9 
10 6 0 12 11 7 13 15 1 3 14 5 2 8 4 
3 15 0 6 10 1 13 8 对 4 5 11 12 ” 2 14 
S5 
2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 
14 11 2 12 4 7 13 1 5 0 15 10 3 9 
4 2 1 11 10 13 7 8 15 9 12 5 6 3 14 
Ls 8 12 过 1 14 2 13 6 15 0 $ 10 4 5 3 
S6 
12 1 10 15 2 6 13 3 4 14 7 5 11 


10 15 4 2 12 9 5 6 本 13 14 0 至 3 
12 3 党 0 4 10 和 13 11 
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4 11 2 15 14 0 8 13 3 12 9 7 5 10 6 1 
13 0 11 芝 4 9 1 10 14 3 5 12 2 15 8 6 
1 4 11 13 12 3 7 14 10 15 6 8 0 9 2 
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S8 
8 4 6 15 11 1 10 9 3 14 5 0 12 芝 
13 8 10 3 和 4 12 5 6 11 0 14 9 2 
和 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
2 14 过 4 10 8 13 15 12 9 0 3 5 6 镁 


例如 ,第 2 个 S 盒 的 输入 为 111011。 第 1 位 和 最 后 一 位 组 合 形成 了 11, 它 对 应 着 第 2 个 
盒 的 第 三 行 。 中 间 的 4 位 组 合 在 一 起 形成 了 1101 , 它 对 应 着 第 2 个 S 盒 的 第 13 列 。S 盒 2 的 
第 三 行 , 第 13 列 就 是 5( 注 意 : 行 、 列 的 记 数 均 从 0 开始 而 不 是 从 1 开始 ), 则 输出 值 是 0101 。 

S 盒 的 输出 作为 P 变换 的 输入 ,P 的 功能 是 对 输入 进行 置换 。 例 如 ,第 20 位 移 到 第 
3 位 ,第 25 位 移 到 最 后 一 位 。P 换 位 表 如 表 8-7 所 示 。 


表 8-7 P 换 位 表 


2 8 24 14 32 27 3 by 19 13 30 6 22 如 4 25 


最 后 ,将 P 盒 转换 的 结果 与 最 初 的 L。 异 或 ,然后 再 进行 下 一 轮 迭 代 。 和 迭代 16 次 以 后 ， 
进入 第 3 步 。 

第 3 步 : 道 置换 。 对 LisRis 利用 IP 做 逆 置 换 , 就 得 到 了 密 文 y。 道 置换 IP 规则 表 
如 表 8-8 所 示 。 


表 8-8 逆 置 表 IP 
40 8 48 16 56 24 64 32 39 昌 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 


8.3.3 DES 算法 的 安全 性 


在 DES 作为 加 密 标准 提出 后 不 久 ,学 者 们 就 开始 争论 DES 的 安全 性 。DES 的 密 钥 长 
度 较 短 ,这 被 认为 是 DES 最 大 的 弱点 。 针 对 这 个 弱点 的 攻击 包括 穷 举 测试 密 钥 ,就 是 利用 
一 个 已 知 的 明文 和 密 文 消息 对 进行 穷 举 猜测 ,直到 找到 正确 的 密 钥 。 

对 付 攻击 的 有 效 方法 是 用 三 个 密 钥 进行 三 次 加 密 。 这 将 把 已 知 明文 攻击 的 工作 量 提 高 
了 2” 倍 , 这 个 密 钥 长 度 大 大 提高 了 抗 攻 击 强度 。 其 缺点 是 要 使 用 3X35 二 168 比特 的 密 
钥 。 作 为 替代 方案 ,可 以 使 用 两 个 密 钥 进 行 的 三 重 DES 方案 。 


8.4 RSA 公 钥 加 密 技 术 


1978 年 ,Rivest、Shamir 和 Adleman 提出 一 种 用 数论 构造 的 RSA 算法 , 它 是 迄今 为 止 
在 理论 上 最 为 成 熟 完善 的 公 钥 密码 体制 ,该 体制 已 经 得 到 广泛 的 应 用 和 实践 。 


8.4.1 RSA 算法 的 原理 


RSA 算法 是 一 种 基于 大 数 不 可 能 质 因数 分 解 假设 的 公 钥 体系 。 简 单 地 说 ,就 是 找 两 个 
很 大 的 质数 ,一 个 公开 给 世界 , 称 之 为 “ 公 钥 ”, 另 一 个 不 告诉 任何 人 , 称 之 为 “ 私 钥 ”。 两 个 密 
钥 互补 ,用 公 钥 加 密 的 密 文 可 以 用 私 钥 解 密 , 反 过 来 也 一 样 。 假 设 A 寄 信 给 B, 他 们 知道 对 
方 的 公 钥 。A 可 以 用 B 的 公 钥 加 密 邮 件 寄 出 ,B 收 到 后 用 自己 的 私 钥 解 出 A 的 原文 ,这 样 
就 保证 了 邮件 的 安全 性 。RSA 算法 如 图 8-7 所 示 。 
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图 8-7 RSA 算法 框图 


1. RSA 算法 的 密 钥 的 产生 

(1) 选 两 个 大 素数 p 和 gq。 

(2) 计算 这 两 个 素数 的 乘积 n= 二 pXg.$(m) 二 (p 一 1)(g 一 1]), 其 中 $8(m) 是 的 欧 拉 函数 值 。 
(3) 选择 一 个 整数 e ,满足 1 二 e 二 $(n) ,并且 gcd(e,$(n)) 二 1, 也 就 是 e 和 $$(n) 互 质 。 
(4) 计算 d ,满足 dXe=1 mod $(n)。 

(5) 以 {fe ,n) 为 公 钥 ,{d ,n}) 为 私 钥 。 

2. RSA 算法 的 加 密 

(1) 将 明文 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 ”; 

(2) 对 每 个 分 组 明文 mw ,做 加 密 运 算 : c= 二 m* mod n。 

3. RSA 算法 的 解密 

对 每 个 分 组 密 文 ,做 解密 运算 : m 二 c” mod nn。 


8.4.2 RSA 的 安全 性 


RSA 算法 的 安全 性 依赖 于 大 数 分 解 ,但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 
明 , 因 为 没有 证 明 破 解 RSA 算法 就 一 定 需要 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算 
法 , 那 它 肯定 可 以 修改 成 为 大 数 分 解 算法 。 目 前 ,RSA 算法 的 一 些 变种 算法 已 被 证 明 等 价 
于 大 数 分 解 , 不 管 怎样 ,分 解 n 是 最 显然 的 攻击 方法 。 为 了 避免 整数 分 解 算法 对 RSA 公 钥 
密码 系统 的 攻击 ,必须 慎重 选择 RSA 大 整数 ,例如 RSA 大 整数 一 户 Xd 必须 足够 大 ,以 抵 
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抗 数 据 域 第 法 的 分 解 ,p 与 4 的 位 数 应 差不多 ,以 抵抗 椭圆 曲线 算法 的 分 解 。 由 此 可 见 , 由 
于 分 解 大 整数 的 能 力 日 益 增强 ,因此 为 保证 RSA 体制 的 安全 性 必须 增加 p 与 g 的 位 数 。 


8.4.3 RSA 与 DES 的 比较 


非 对 称 加 密 具 有 更 大 的 密 钥 空间 或 可 能 值 范围 .因此 不 太 容 易 受 到 对 每 个 可 能 密 钥 都 
进行 尝试 的 穷 举 攻击 。 由 于 公 钥 不 需要 保密 ,因此 分 发 起 来 十 分 容易 ,但 条 件 是 可 通过 某 种 
其 他 方式 来 验证 发 送 方 的 身份 。 某 些 非 对 称 加 密 算法 可 用 于 创建 数字 签名 ,以 此 来 验证 数 
据 发 送 方 的 身份 。 但 是 与 对 称 加 密 算法 相 比 , 非 对 称 加 密 的 速度 很 慢 ,不 适合 用 来 加 密 大 量 
数据 。 非 对 称 加 密 算 法 仅 对 传输 很 少量 的 数据 有 用 。 非 对 称 加 密 通常 用 于 加 密 一 个 对 称 加 
密 将 要 使 用 的 密 钥 ,而 对 会 话 的 其 余部 分 应 用 对 称 加 密 。 

对 称 加 密 与 非 对 称 加 密 都 具有 各 自 的 优点 和 缺点 , 现 对 两 种 加 密 算法 进行 比较 ,如 
表 8-9 所 示 。 


表 8-9 DES 与 RSA 比较 表 


算法 密 钥 关系 密 钥 传送 | 数字 签名 速度 主要 用 途 
DES “| 加 密 密 钥 与 解密 密 钥 相 同 不 需 困难 快 数据 加 密 
RSA | 加 密 密 钥 与 解密 密 钥 不 同 需要 容易 慢 数字 签名 \ 密 钥 加 密 


对 称 加 密 算 法 加 密 速度 快 ,但 密 钥 的 管理 存在 安全 性 问题 。 非 对 称 加 密 算 法 密 钥 管理 
简单 ,尤其 是 RSA 加 密 算法 易于 理解 ,容易 实现 ,安全 性 良好 ,而且 已 经 有 大 量 针对 RSA 算 
法 的 改进 方法 可 以 应 用 。 


8.5 信息 加 密 技 术 应 用 


在 网 络 安全 领域 ,网 络 数据 加 密 是 解决 通信 网 络 中 信息 安全 的 有 效 方法 。 常 用 的 网 络 
数据 加 密 方式 主要 有 链 路 加 密 ,节点 加 密 和 端 到 端 加 密 。 


8.5.1 链 路 加 密 


链 路 加 密 是 对 网 络 中 两 个 相 邻 节点 之 间 传 输 的 数据 进行 加 密 保护 ,如 图 8-8 所 示 。 对 
于 链 路 加 密 , 所 有 消息 在 被 传输 之 前 进行 加 密 , 在 每 一 个 节点 对 接收 到 的 消息 进行 解密 后 ， 
先 使 用 下 一 链 路 的 密 钥 对 消息 进行 加 密 ,再 进行 传输 。 在 到 达 目 的 地 之 前 ,一 条 消息 可 能 要 
经 过 多 条 通信 链 路 的 传输 。 


节点 0 节点 1 节点 2 节点 n 
式 X X 区 
Ei(X) EC9 EC0) . EX) 
© @ Ol OO” 测 @ ©» 
图 8-8 ” 链 路 加 密 


由 于 在 每 一 个 中 间 传 输 节点 ,消息 均 被 解密 后 重新 进行 加 密 , 因 此 包括 路 由 信息 在 内 的 
链 路 上 的 所 有 数据 均 以 密 文 形式 出 现 。 所 以 链 路 加 密 就 掩盖 了 被 传输 消息 的 源 点 与 终点 。 


由 于 填充 技术 的 使 用 及 填充 字符 在 不 需要 传输 数据 的 情况 下 就 可 以 进行 加 密 , 这 使 得 消息 
的 频率 和 长 度 特性 得 以 掩盖 ,从 而 可 以 防止 对 通信 业务 进行 分 析 。 

尽管 链 路 加 密 在 计算 机 网 络 环 境 中 广泛 使 用 ,但 也 存在 一 些 问 题 。 链 路 加 密 通 常用 在 
点 对 点 的 同步 或 异步 线路 上 , 它 要 求 先 对 链 路 两 端的 加 密 设 备 进行 同步 ,然后 使 用 一 种 链 模 
式 对 链 路 上 传输 的 数据 进行 加 密 , 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 副作用 。 在 线路 信 
号 连通 性 不 好 的 海外 或 卫星 网 络 中 , 链 路 上 的 加 密 设 备 需 要 频繁 地 进行 同步 ,其 带 来 的 后 果 是 
数据 丢失 或 重 传 。 因 此 ,即使 一 小 部 分 数据 需要 进行 加 密 , 也 会 使 得 所 有 传输 数据 重新 加 密 。 

在 一 个 网 络 节点 , 链 路 加 密 仅 在 通信 和 链 路 上 提供 安全 性 ,消息 以 明文 形式 存在 ,因此 所 
有 节点 在 物理 上 必须 是 安全 的 ,否则 就 会 泄漏 明文 内 容 。 在 传统 的 单 钥 加 密 算法 中 ,解密 密 
钥 与 加 密 密 钥 是 相同 的 ,该 密 钥 必须 被 秘密 保存 ,并 按 一 定 规则 进行 变化 。 因 此 , 密 钥 分 配 
的 链 路 要 对 密 钥 进 行 物 理 传送 或 者 建立 专用 网 络 设施 。 网 络 节点 地 理 分 布 的 广阔 性 使 得 这 
一 过 程 变 得 复杂 ,同时 增加 了 密 钥 连续 分 配 时 的 代价 。 


8.5.2 节点 加 密 


节点 加 密 是 指 在 信息 传输 路 过 的 节点 处 进行 解密 和 加 密 。 尽 管 节点 加 密 能 给 网 络 数据 
提供 较 高 的 安全 性 ,但 它 在 操作 方式 上 与 链 路 加 密 是 类 似 的 ,两 者 均 在 通信 链 路 上 为 传输 的 
信息 提供 安全 保障 ,都 在 中 间 节 点 先 对 信息 进行 解密 ,然后 进行 加 密 。 因 为 要 对 所 有 传输 的 
数据 进行 加 密 , 所 以 加 密 过 程 对 用 户 是 透明 的 。 然 而 与 链 路 加 密 不 同 的 是 ,节点 加 密 不 允许 
信息 在 网 络 节 点 以 明文 形式 存在 , 它 先 把 收 到 的 信息 进行 解密 ,然后 采用 另 一 个 不 同 的 密 钥 
进行 加 密 , 这 一 过 程 是 在 节点 上 的 一 个 安全 模块 中 进行 的 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ,以 便 中 间 节 点 能 得 到 如 何 处 理 信 息 的 
指示 ,因此 这 种 方法 对 于 防止 攻击 者 分 析 通信 业务 是 脆弱 的 。 


8.5.3 端 到 端 加 密 


端 到 端 加 密 是 指 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 ,如 图 8-9 所 示 。 端 到 端 加 密 
允许 数据 在 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 端 加 密 , 信 息 在 被 
传输 到 达 终 点 之 前 不 进行 解密 ,因为 信息 在 整个 传输 过 程 中 均 受 到 保护 ,所 以 即使 有 节点 被 
损坏 也 不 会 使 信息 泄漏 。 


节点 0 节点 1 节点 2 节点 
x 4 
E:(X), 本 EKCX) | EE si 
链 路 1 链 路 2 链 路 7 
图 8-9 端 到 端 加 密 


端 到 端 加 密 系统 的 价格 便宜 , 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 ,更 容易 设计 、 实 现 
和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 ,因为 每 个 报 文 包 均 是 独立 
被 加 密 的 ,所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 

端 到 端 加 密 系统 通常 不 允许 对 信息 的 目的 地 址 进行 加 密 , 这 是 因为 每 一 个 信息 所 经 过 
的 节点 都 要 用 此 地 址 来 确定 如 何 传输 信息 。 由 于 这 种 加 密 方 法 不 能 掩盖 被 传输 信息 的 源 点 
与 终点 ,因此 它 对 于 防止 攻击 者 分 析 通 信 业 务 也 是 脆弱 的 。 
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一 、 填空 题 
1. 现代 密码 系统 也 称 为 密码 体制 ,一 般 由 5 个 部 分 组 成 ,包括 明文 空间 、 密 文 空间 、(  ”)、 
加 密 算法 和 解密 算法 。 
2. 密码 体制 从 原理 上 可 分 为 两 大 类 , 即 ( ) 和 非 对 称 密码 体制 。 
3. 对称 加 密 技术 对 信息 的 加 密 与 解密 都 使 用 相同 的 密 钥 , 因 此 又 称 为 ( ) 技 术 。 
4. DES 算法 采用 了 ( ) 位 密 钥 长 度 , 其 中 8 位 用 于 奇偶 校 验 。 
5. 非 对 称 加 密 技术 对 信息 的 加 密 与 解密 使 用 不 同 的 密 钥 , 用 来 加 密 的 密 钥 是 可 以 公开 
的 公 钥 ,用 来 解密 的 密 钥 是 需要 保密 的 私 钥 , 因 此 又 被 称 为 ( ) 技 术 。 
二 、 选 择 题 
1. 以 下 关于 对 称 密 钥 加 密 说 法 正确 的 是 ( Ws 
A. 加 密 方 和 解密 方 可 以 使 用 不 同 的 算法 
B. 加 密 密 钥 和 解密 密 钥 可 以 是 不 同 的 
C. 加 密 密 钥 和 解密 密 钥 必须 是 相同 的 
D. 密 钥 的 管理 非常 简单 
2. 以 下 关于 非 对 称 密 钥 加 密 说 法 正确 的 是 ( ) 
A. 加 密 方 和 解密 方 使 用 的 是 不 同 的 算法 B. 加 密 密 钥 和 解密 密 钥 是 不 同 的 
C. 加 密 密 钥 和 解密 密 钥 是 是 相同 的 D. 加 密 密 钥 和 解密 密 钥 没有 任何 关系 
3. 以 下 关于 混合 加 密 方式 说 法 正确 的 是 ( 》 
A. 采用 公开 密 钥 体制 进行 通信 过 程 中 的 加 解密 处 理 
B. 采用 公开 密 钥 体 制 对 对 称 密 钥 体制 的 密 钥 进行 加 密 后 的 通信 
C. 采用 对 称 密 钥 体制 对 对 称 密 钥 体制 的 密 钥 进行 加 密 后 的 通信 
D. 采用 混合 加 密 方 式 , 利 用 了 对 称 密 钥 体 制 的 密 钥 容易 管理 和 非 对 称 密 钥 体制 的 
加 解密 处 理 速度 快 的 双重 优点 
4. 利用 3DES 进行 加 密 , 以 下 说 法 正确 的 是 ( Ye 
A. 3DES 的 密 钥 长 度 是 56 位 
B. 3DES 全 部 使 用 三 个 不 同 的 密 钥 进行 三 次 加 密 
C. 3DES 的 安全 性 高 于 DES 
D. 3DES 的 加 密 速 度 比 DES 加 密 速度 快 
5. DES 算法 中 扩展 运算 下 的 功能 是 ( 3 和 
A. 对 16 位 的 数据 组 的 各 位 进行 选择 和 排列 ,产生 一 个 32 位 的 结果 
B. 对 32 位 的 数据 组 的 各 位 进行 选择 和 排列 ,产生 一 个 48 位 的 结果 
C. 对 48 位 的 数据 组 的 各 位 进行 选择 和 排列 ,产生 一 个 64 位 的 结果 
D. 对 56 位 的 数据 组 的 各 位 进行 选择 和 排列 ,产生 一 个 64 位 的 结果 
6. S 盒 是 DES 中 唯一 的 非 线 性 部 分 ,DES 的 安全 强度 主要 取决 于 S 盒 的 安全 程序 。 
DES 中 有 ( ) 个 S 盒 ,其 中 ( Ws 
站 爱 B. 4 C. 6 下 交 


才 co 汽 


网 络 作 会 基础 


E. 每 个 S 盒 有 6 个 输入 ,4 个 输出 F. 每 个 S 盒 有 4 个 输入 ,6 个 输出 
G. 每 个 S 盒 有 48 个 输入 ,32 个 输出 H. 每 个 S 盒 有 32 个 输入 ,48 个 输出 
7. 车 Bob 给 Alice 发 送 一 封 邮件 ,并 想 让 Alice 确信 邮件 是 由 Bob 发 出 的 , 则 Bob 应 该 
选用 ( ) 对 邮件 加 密 。 


A. Alice 的 公 钥 B.Alice 的 私 钥 C. Bob 的 公 钥 D. Bob 的 私 钥 
8. DES 算法 的 特点 是 , 密 钥 是 固定 的 56 位 ,并 且 加 密 的 数据 必须 是 以 ( ) 的 块 为 单 
位 进行 加 密 的 。 
A. 32 位 B. 56 位 C. 64 位 D. 72 位 


9. 在 密码 学 中 ,下 列 对 RSA 的 描述 正确 的 是 ( 和 
A. RSA 是 秘密 密 钥 算 法 和 对 称 密 钥 算法 
B. RSA 是 非 对 称 密 钥 算法 和 公 钥 算法 
C. RSA 是 秘密 密 钥 算法 和 非 对 称 密 钥 算法 
D. RSA 是 公 钥 算法 和 对 称 密 钥 算法 
10. 表 8-10 是 DES 算法 中 S4 盒 的 选择 矩阵 ,如 果 其 输入 为 101011 ,输出 的 是 ( ) 。 
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A. 0001 B. 0100 C. 1010 D. 0011 
11. 表 8-11 是 DES 算法 中 S4 盒 的 选择 矩阵 ,如果 其 输入 为 110011 ,输出 的 是 ( Js 
表 8-11 
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A. 0001 B. 0100 C. 1010 D. 0011 

三 、 判断 题 

1. 密码 编码 学 是 密码 体制 的 设计 学 , 即 采用 什么 样 的 密码 体制 保证 信息 被 安全 地 加 
密 。 从 事 此 行业 的 人 员 被 称 为 密码 编码 者 。 

2. 根据 被 破译 的 难 易 程度 ,不 同 的 密码 算法 具有 不 同 的 安全 等 级 。 如 果 破 译 算法 的 代 
价 大 于 加 密 数据 的 价值 ,那么 算法 可 能 是 安全 的 。 

3， 密 钥 是 保密 通信 安全 的 关键 ,发 信 方 必须 安全 、 妥 善 地 把 密 钥 护送 到 收 信 方 ,不 能 汇 
漏 其 内 容 。 如 何 才能 把 密 钥 安 全 地 送 到 收 信 方 ,是 公 钥 密码 算法 的 突出 问题 。 

4. DES 算法 是 目前 广泛 采用 的 对 称 加 密 方式 之 一 ,加密 和 解密 使 用 同一 种 算法 ,加密 


和 解密 时 的 密 钥 也 是 相同 的 。 

5. 非 对 称 加 密 技 术 中 ,用 来 加 密 的 公 钥 与 解密 的 私 钥 是 数学 相关 的 ,并 且 加 密 公 钥 与 
解密 私 钥 是 成 对 出 现 的 ,但 是 不 能 通过 加 密 公 钥 来 计算 出 解密 私 钥 。 

6. 公 钥 加 密 体 制 的 优点 是 可 以 公开 加 密 密 钥 ,适应 网 络 的 开放 性 要 求 , 且 仅 需 保密 解 
密 密 钥 。 其 主要 缺点 是 加 密 算 法 复杂 ,加密 与 解密 的 速度 比较 慢 。 

7. RSA 算法 是 一 种 基于 大 数 不 可 能 质 因数 分 解 假 设 的 公 钥 体系 。 

8. 对 称 加 密 算法 加 密 速度 快 ,但 密 钥 的 管理 存在 安全 性 问题 ; 非 对 称 加 密 算法 密 钥 管 
理 简单 ,但 加 密 速 度 慢 。 

四 、 简 答题 

1. 什么 是 密 钥 ? 

2. 什么 是 明文 ? 

五 、 综 合 题 

1. 在 RSA 算法 中 ,选择 两 个 素数 p= 二 5,g 二 11, 加 密 密 钥 为 e==3, 假 设 需要 加 密 的 明文 
信息 为 m= 二 3。 

(1) 计算 出 解密 密 钥 d ; 

(2) 说 明 使 用 RSA 算法 的 加 密 过 程 及 结果 ? 

2. 假设 需要 加 密 的 明文 信息 为 m= 二 4, 选 择 p= 二 5,g 二 11,e 二 7, 试 使 用 RSA 算法 求解 
公 钥 、 私 钥 和 加 密 结果 。 的 值 。 


地 oo 汽 


第 9 章 无 线 网 络 安全 


【本 章 学 习 目标 】 

。 了 解 无 线 网 络 

。 了 解 无 线 网 络 面临 的 安全 威胁 
。 理解 物理 地 址 过 滤 技 术 

。 理解 服务 区 标识 符 匹 配 技术 
。 掌握 WEP 加 密 解 密 过 程 


9.1 无 线 网 络 概述 


9.1.1 无 线 局 域 网 


无 线 局 域 网 (WLAN) 提 供 了 移动 接 入 的 功能 ,这 给 许多 需要 发 送 数 据 但 又 不 能 坐 在 办 
公 室 的 工作 人 员 提 供 了 方便 。 当 要 求 大 量 持 有 便携 式 计算 机 的 用 户 在 同一 个 地 方 同时 上 网 
时 (如 在 临时 会 议 的 地 点 、 时 外 等 ) ,如果 采用 电缆 连 网 ,布线 是 很 大 的 问题 ,这 时 采用 无 线 局 
域 网 就 比较 容易 。 无 线 局 域 网 还 有 投资 少 、 建 网 速度 快 等 优点 。 

无 线 局 域 网 是 计算 机 网 络 与 无 线 通 信 技 术 相 结合 的 产物 。 它 利用 射频 (RF) 技 术 , 取 代 
旧式 的 双 绞 铜 线 构成 局 域 网 ,提供 传统 有 线 局 域 网 的 所 有 功能 。 

无 线 局 域 网 的 发 展 经 历 了 两 个 阶段 : IEEE 802. 11 标准 出 台 以 前 各 个 标准 互 不 兼容 的 
阶段 和 IEEE 802. 11 标准 问世 以 后 的 无 线 网 络 产品 规范 化 阶段 。IEEE 802. 11 标准 代表 了 
无 线 网 所 需要 具备 的 特点 。 无 线 局 域 网 有 两 种 配置 方案 : 有 基站 及 没有 基站 。IEEE 802. 11 
标准 对 这 两 种 方案 都 提供 了 支持 ,凡是 使 用 IEEE 802. 11 系列 协议 的 局 域 网 又 称 为 Wi-Fi 
(Wireless-Fidelity) 。 

1. IEEE 802. 11 基站 结构 模型 

IEEE 802. 11 标准 规定 无 线 局 域 网 的 最 小 构件 是 基本 服务 集 (Basic Service Set,BSS) 。 
一 个 基本 服务 集 包 括 一 个 基站 (base station) 和 若干 个 使 用 相同 MAC 协议 共享 媒体 的 移动 
站 ,所 有 移动 站 在 本 BSS 以 内 都 可 以 直接 通信 ,但 在 和 本 BSS 以 外 的 移动 站 通信 时 都 必须 
通过 本 BSS 的 基站 。 基 本 服务 集 内 的 基站 就 是 接 人 点 (Access Point,AP) 。 

一 个 基本 服务 集 可 以 是 孤立 的 ,也 可 通过 接 入 点 连接 到 一 个 分 配 系 统 (Distribution 
System,DS) ,然后 再 连接 到 另 一 个 基本 服务 集 ,这 样 就 构成 了 一 个 扩展 的 服务 集 (Extended 
Service Set,ESS) 。 分 配 系统 可 以 使 用 以 太 网 (这 是 最 常用 的 ) 点 对 点 链 路 或 其 他 无 线 网 


络 。 扩 展 服务 集 可 以 为 无 线 用 户 提供 到 有 线 局 域 网 的 接 入 。 这 种 接 入 是 通过 无 线 网 桥 来 实 
现 的 。 

2. 自 组 网 络 

没有 基站 的 无 线 局 域 网 又 叫 作 自 组 网 络 (ad hoc network) 。 这 种 自 组 网 络 没 有 上 述 基 
本 服务 集中 的 接 人 点 ,而 是 由 一 些 处 于 平等 状态 的 站 之 间 相 互通 信 组 成 的 临时 网 络 。 在 自 
组 网 络 中 , 源 节点 和 目的 节点 之 间 的 其 他 节点 为 转发 节点 ,这 些 节 点 都 具有 路 由 器 的 功能 。 
由 于 自 组 网 络 没有 预先 建 好 的 网 络 固定 基础 设施 (基站 ) ,因此 自 组 网 络 的 服务 范围 通常 是 
受 限 的 ,而 且 自 组 网 络 一 般 也 不 和 外 界 的 其 他 网 络 相连 接 。 自 组 网 络 有 很 好 的 应 用 前 景 , 例 
如 战场 指挥 .灾害 场景 ,移动 会 议 、 传 感 器 网 络 等 。 

近年 来 ,无 线 传感器 网 络 (Wireless Sensor Network, WSN) 引 起 了 人 们 广泛 的 关注 。 
无 线 传感器 网 络 是 由 大 量 传感器 节点 通过 无 线 通 信 技 术 构 成 的 自 组 网 络 。 无 线 传感器 网 络 
的 应 用 就 是 进行 各 种 数据 的 采集 、 处 理 和 传输 , 它 一 般 并 不 需要 很 高 的 带宽 ,但 是 在 大 部 分 
时 间 必 须 保持 低 功 耗 ,以 节省 电池 的 消耗 。 由 于 无 线 传 感 节点 的 存储 容量 有 限 , 因 此 对 协议 
栈 的 大 小 有 严格 的 限制 。 

3. IEEE 802. 11 服务 

IEEE 802. 11 定义 了 标准 无 线 LAN 必须 提供 的 9 种 服务 。 这 些 服务 可 以 分 成 两 类 :5 
种 分 发 服务 和 4 种 站 服务 。 分 发 服务 涉及 对 BSS 的 成 员 关 系 的 管理 ,并 且 会 影响 到 BSS 之 
外 的 站 。 与 之 相反 ,站 服务 则 只 与 一 个 BSS 内 部 的 活动 有 关系 。 

1) 分 发 服务 

5 种 分 发 服务 是 由 基站 提供 的 ,它们 处 理 站 的 移动 性 。 当 移动 站 进入 BSS 的 时 候 , 通 过 
这 些 服务 与 基站 关联 起 来 ; 当 移动 站 离开 BSS 的 时 候 ,通过 这 些 服务 与 基站 断 开 联系 。 这 
5 种 分 发 服务 如 下 。 

(1) 关联 (association) 。 移 动 站 利用 该 服务 连接 到 基站 上 。 典 型 情况 下 , 当 一 个 移动 站 
进入 到 一 个 基站 的 无 线 电 距离 范围 之 内 时 ,这 种 服务 就 会 被 用 到 。 

(2) 分 离 (disassociation)。 不 管 是 移动 站 ,还 是 基站 ,都 有 可 能 会 解除 关联 关系 。 一 个 
站 在 离开 或 者 关闭 之 前 , 先 使 用 这 项 服务 ; 基站 在 停 下 来 进行 维护 之 前 也 可 能 会 用 到 该 
服务 。 

(3) 重新 关联 (reassociation)。 利 用 这 项 服务 ,一 个 站 可 以 改变 它 的 首选 基站 。 这 项 服 
务 对 于 那些 从 一 个 BSS 移动 到 另 一 个 BSS 的 移动 站 来 说 ,是 非常 有 用 的 。 

(4) 分 发 (distribution) 。 这 项 服务 决定 了 如 何 路 由 那些 发 送 给 基站 的 帧 。 如 果 帧 的 
目标 对 于 基站 来 说 是 本 地 的 , 则 该 帧 将 被 直接 发 送 到 空中 ,否则 它们 必须 通过 DS 来 

(5) 融合 (integration) 。 如 果 一 帧 需要 通过 一 个 非 IEEE 802. 11 的 网 络 来 发 送 , 并 且 该 
网 络 使 用 了 不 同 的 编 址 方案 或 者 不 同 的 帧 格式 , 则 通过 这 项 服务 可 以 将 IEEE 802. 11 格式 
的 帧 翻译 成 目标 网 络 所 要 求 的 帧 格式 。 

2) 站 服务 

4 种 站 服务 都 是 在 BSS 内 部 进行 的 。 当 关联 过 程 完成 之 后 ,这 些 服务 才 可 能 会 用 到 。 
这 4 种 服务 如 下 。 

(1) 认证 (authentication)。 因 为 未 授权 的 站 很 容易 就 可 以 发 送 或 者 接收 无 线 通 信 流 
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量 , 所 以 ,任何 一 个 站 必须 首先 证 明 自 己 的 身份 ,然后 才 人 允许 发 送 数据 。 典 型 情况 下 , 当 基 站 
接受 了 一 个 移动 站 的 关联 请 求 之 后 ,基站 将 给 它 发 送 一 个 特殊 的 质询 帧 ,以 确定 该 移动 站 是 
否 知道 原先 分 配给 它 的 密 钥 (口令 ); 移动 站 加 密 质 询 帧 并 送 回 给 基站 ,如果 结果 正确 ,就 可 
以 证 明 它 是 知道 密 钥 的 ,移动 站 就 会 被 全 接纳 。 

(2) 解除 认证 (deauthentication) 。 如 果 一 个 原先 已 经 通过 认证 的 移动 站 要 离开 网 络 ， 
则 它 需 要 解除 认证 。 

(3) 私密 性 (privacy) 。 如 果 在 无 线 LAN 上 发 送 的 信息 需要 保密 , 则 它 必须 被 加 密 。 这 
项 服务 管理 加 密 和 解密 。 

(4) 数据 投递 (data delivery)。 最 后 ,真正 的 目的 是 为 了 传输 数据 ,所 以 ,IEEE 802. 11 
必须 提供 一 种 传送 和 接收 数据 的 方法 。IEEE 802. 11 的 传输 过 程 不 保证 可 靠 性 ,上 面 的 层 
必须 处 理 检 错 和 纠 错 工作 。 


9.1.2 无 线 个 域 网 


无 线 个 域 网 (Wireless Personal Area Network, WPAN) 是 当前 计算 机 网 络 发 展 最 为 迅 
速 的 领域 之 一 。WPAN 就 是 在 个 人 工作 或 生活 的 地 方 把 属于 个 人 使 用 的 电子 设备 (如 便携 
式 电脑 ,掌上 电脑 ,便携 式 打 印 机 以 及 蜂窝 电话 等 ) 用 无 线 技术 连接 起 来 的 自 组 网 络 。 
WPAN 可 以 是 一 个 人 使 用 ,也 可 以 是 若干 人 共同 使 用 (例如 ,一 个 教研 室 的 几 位 教师 把 几米 
范围 内 使 用 的 一 些 电子 设备 组 成 一 个 无 线 个 人 区 域 网 ) 。 这 些 电 子 设备 可 以 很 方便 地 进行 
通信 ,并 且 解 决 了 使 用 导线 的 麻烦 。 

WPAN 的 IEEE 标准 都 由 IEEE 802. 15 工作 组 制定 ,这 个 标准 也 是 包括 MAC 层 和 物 
理 层 的 标准 。WPAN 都 工作 在 2. 4GHz 的 ISM 频段 。WPAN 被 广泛 关注 的 技术 及 其 标准 
有 以 下 三 个 。 

1. IEEE 802.15.1 

IEEE 802. 15. 1 覆盖 了 蓝牙 (Bluetooth) 协 议 栈 的 物理 层 / 媒 体 接 人 控制 层 (PHY/ 
MAC) 。 

1998 年 5 月 ,5 家 世界 著名 的 IT 公司 (爱立信 、IBM.、 英 特 尔 .诺基亚 和 东芝 ) 联 合 宣 
布 了 “蓝牙 ”计划 ,使 不 同 厂家 的 便携 设备 在 没有 电缆 连接 时 ,利用 无 线 技术 在 近 距 离 范 
围 内 具有 相互 操作 的 性 能 。 随 后 这 5 家 公司 组 建 了 一 个 特殊 的 兴趣 组 织 (SIG) 来 负责 此 
项 计划 的 研发 。 这 项 计划 一 经 公布 .就 得 到 了 包括 摩托 罗拉 、 朗 讯 、 康 柏 .西门 子 以 及 微 
软 等 大 公司 在 内 的 近 2000 家 厂商 的 广泛 支持 和 采纳 。1999 年 7 月 蓝牙 SIG 推出 了 蓝牙 
协议 1.0 版 。 

IEEE 802. 15. 1 标准 是 由 IEEE 与 蓝牙 SIG 共同 合作 完成 的 ,其 源 于 蓝牙 v1. 1 版 ,并 
已 于 2002 年 4 月 15 日 由 IEEE-SA 的 标准 部 门 批准 成 为 一 个 正式 标准 , 它 可 以 同 蓝牙 v1.1 
完全 兼容 。 

IEEE 802. 15. 1 是 用 于 WPAN 的 无 线 媒体 接 入 控制 层 和 物理 层 规范 。 标 准 的 目标 是 
在 个 人 操作 空间 (POS) 内 进行 无 线 通信 。 

2. IEEE 802. 15.3a 

IEEE 802. 15. 3a 是 超 宽带 (Ultra-Wide Band,UWB) 标 准 。 

超 宽带 技术 起 源 于 20 世纪 50 年 代 末 ,此 前 主要 作为 军事 技术 在 雷达 探测 和 定位 等 应 


用 领域 中 使 用 。 美 国联 邦 通信 委员 会 (FCC) 于 2002 年 2 月 准许 该 技术 进入 民用 领域 ,用 户 
不 必 进 行 申请 即 可 使 用 。 作 为 室内 通信 所 采用 的 技术 ,FCC 已 将 3. 1 一 10. 6GHz 频带 向 
UWB 通信 开放 。 

传统 的 “窄带 ”和 “宽带 ”都 是 采用 无 线 电 频率 (RF) 载 波 来 传送 信号 ,利用 载波 的 状态 变 
化 来 传输 信息 。 而 超 宽 带 是 基带 传输 ,通过 发 送 代 表 0 和 1 的 脉冲 无 线 电信 号 来 传送 数据 。 
这 些 脉冲 信号 的 时 域 极 窗 ( 纳 秒 级 ) , 频 域 极 宽 ( 数 Hz 到 数 GHz, 甚 至 超过 10GHz) ,其 中 的 
低频 部 分 可 以 实现 穿 墙 通信 。 

关于 UWB 技术 主要 有 两 种 相互 竞争 的 标准 : 以 Intel 和 Texas Instrument 为 代表 的 
MBOA 标准 ,主张 采用 多 频带 方式 来 实现 UWB 技术 ; 以 Motorola 为 代表 的 DS-UWB 标 
准 ,主张 采用 单 频带 方式 来 实现 UWB 技术 。 

UWB 技术 有 如 下 几 个 突出 特点 : 

(1) 超 宽带 技术 使 用 了 瞬间 高 速 脉 冲 , 因 此 信号 的 频带 很 宽 , 可 支持 100 一 400Mbys 的 
数据 率 。 可 用 于 小 范围 内 高 速 传送 图 像 或 DVD 质量 的 多 媒体 视频 文件 。 

(2) UWB 只 在 需要 传输 数据 时 才 发 送 脉冲 ,信号 的 功率 谱 密度 极 低 ,发 射 系统 比 现 有 
的 传统 无 线 电 技术 功 耗 低 得 多 。 在 高 速 通信 时 系统 的 耗 电量 仅 为 几 百 微 瓦 (xW) 至 几 十 毫 
瓦 (mW)。 民 用 的 UWB 设备 功率 一 般 是 传统 移动 电话 所 需 功 率 的 1/100 左右 ,是 蓝牙 设 
备 所 需 功 率 的 1/20 左右 ,因此 ,UWB 设备 在 电池 寿命 和 电磁 辐射 上 ,相对 于 传统 无 线 设备 
有 着 很 大 的 优越 性 。 

(3) 由 于 UWB 的 脉冲 非常 短 ,频段 非常 宽 ,因此 能 避免 多 路 径 传 输 的 信号 干扰 问题 。 
同时 短 而 弱 的 脉冲 也 使 UWB 与 其 他 无 线 通信 技术 间 产 生 干 扰 的 可 能 性 大 幅 降 低 ,因此 可 
与 其 他 技术 共存 。 

(4) 由 于 UWB 信号 射频 带宽 可 以 达到 1GHz 以 上 , 它 的 发 射 功 率 谱 密度 很 低 ,信号 隐 
蔽 在 环境 噪声 和 其 他 信号 之 中 ,用 传统 的 接收 机 无 法 接收 和 识别 ,必须 采用 与 发 送 端 一 致 的 
扩 频 码 脉 冲 序列 才能 进行 解 调 ,因此 增加 了 系统 的 安全 性 。 

3. IEEE 802.15.4 

IEEE 802. 15. 4(Low-Rate Wireless Personal Area Network,LR-WPAN ,低速 无 线 个 
域 网 ) ,覆盖 了 ZigBee 协议 栈 的 物理 层 / 媒 体 接 入 控制 层 (PHY/MAC)。 

IEEE 802. 15. 4 标准 主要 针对 低速 无 线 个 域 网 制定 。 该 标准 把 低能 量 消耗 、 低 速率 传 
输 、 低 成 本 作为 重点 目标 。ZigBee 标准 是 在 IEEE 802. 15. 4 标准 基础 上 发 展 而 来 的 。 
IEEE 802.15.4 定 义 了 ZigBee 协议 栈 的 最 低 的 两 层 (物理 层 和 MAC 层 ) ,上 面 的 两 层 (网 络 
层 和 应 用 层 ) 则 是 由 ZigBee 联盟 定义 的 。 

ZigBee 技术 主要 用 于 各 种 电子 设备 (固定 的 、 便 携 的 和 移动 的 ) 之 间 的 无 线 通 信 , 其 主 
要 特点 是 通信 距离 短 (10 一 100m) ,传输 数据 速率 低 、 功 耗 低 ,并 且 成 本 低廉 。ZigBee 技术 有 
如 下 主要 优点 。 

(1) 省 电 ( 功 耗 低 ) 。 两 节 五 号 电池 支持 长 达 6 个 月 至 2 年 左右 的 使 用 时 间 。 

(2) 可 靠 。 采 用 了 碰撞 避免 机 制 .同时 为 需要 固定 带宽 的 通信 业务 预 留 了 专用 时 隙 , 避 
免 了 发 送 数据 时 的 竟 争 和 冲突 。 节 点 模块 之 间 具 有 自动 动态 组 网 的 功能 ,信息 在 整个 
ZigBee 网 络 中 通过 自动 路 由 的 方式 进行 传输 ,从 而 保证 了 信息 传输 的 可 靠 性 。 
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(3) 延迟 短 。 针 对 延迟 敏感 的 应 用 做 了 优化 ,通信 延迟 和 从 休 眼 状态 激活 的 延迟 都 非 
常 短 。 

(4) 网 络 容量 大 。 可 支持 达 65 000 个 节点 。 

(5) 安全 性 和 高 保密 性 。ZigBee 提供 了 数据 完整 性 检查 和 鉴别 功能 ,加 密 算 法 采用 通 
用 的 AES-128。 


9.1.3 无 线 城 域 网 


20 世纪 90 年 代 , 宽 带 无 线 接 和 人 技术 快速 发 展 起 来 ,但 是 相关 市 场 一 直 没 有 繁荣 扩大 ， 
一 个 很 重要 的 原因 就 是 没有 统一 的 全 球 性 标准 。1999 年 ,IEEE 成 立 了 IEEE 802. 16 工作 
组 来 专门 研究 宽带 固定 无 线 接 人 技术 规范 ,目标 就 是 要 建立 一 个 全 球 统一 的 宽带 无 线 接 人 
标准 。 为 了 促进 达成 这 一 目的 , 几 家 世界 知名 企业 还 发 起 成 立 了 WiMAX (World 
Interoperability for Microwave Access) 论 坛 ,力争 在 全 球 范围 推广 这 一 标准 。IEEE 802. 16 
的 出 现 大 大 地 推动 了 宽带 无 线 接 入 技术 在 全 球 的 发 展 ,特别 是 WiMAX 论坛 的 发 展 壮大 ， 
强烈 地 刺激 了 市 场 的 发 展 。 

近年 来 无 线 城 域 网 (WMAN) 又 成 为 无 线 网 络 中 的 一 个 热点 ,可 提供 “最 后 一 英里 ”的 宽 
带 无 线 接 人 (固定 的 、 移 动 的 和 便携 的 ) 。 在 许多 情况 下 ,无 线 城 域 网 可 用 来 代替 现 有 的 有 线 
宽带 接 人 ,因此 它 有 时 又 称 为 无 线 本 地 环 路 (wireless local loop) 。 

现在 无 线 城 域 网 共有 两 个 正式 标准 。 一 个 是 2004 年 6 月 通过 的 IEEE 802. 16 的 修订 
版 本 , 即 IEEE 802. 16d, 是 固定 宽带 无 线 接 和 人 空中 的 接口 标准 (2 一 66GHz 频段 )。 另 一 个 
是 2005 年 12 月 通过 的 IEEE 802. 16 的 增强 版 本 , 即 IEEE 802. 16e, 是 支持 移动 性 的 宽带 
无 线 接 人 空中 的 接口 标准 (2 一 6GHz 频段 ) ,在 其 频段 上 它 向 下 兼容 IEEE 802. 16d。 


9.2 无 线 网 络 面临 的 安全 威胁 


1. 窃听 

无 线 网 络 易 遭受 匿名 黑客 的 攻击 ,攻击 者 可 以 截获 无 线 电 信号 并 解析 出 数据 。 用 于 无 
线 窃听 的 设备 与 用 于 无 线 网 络 接 人 的 设备 相同 ,这 些 设 备 经 过 很 小 的 改动 就 可 以 被 设置 成 
截获 特定 无 线 信道 或 频率 数据 的 设备 。 这 种 攻击 行为 几乎 不 可 能 被 检测 到 。 通 过 使 用 无 线 
网 络 , 攻 击 者 可 以 在 距离 目标 很 远 的 地 方 进 行 攻击 。 窃 听 主 要 用 于 收集 目标 网 络 的 信息 , 包 
括 谁 在 使 用 网 络 、 能 访问 什么 信息 及 网 络 设备 的 性 能 等 。 很 多 常用 协议 通过 明文 传送 用 户 
名 和 密码 等 敏感 信息 ,使 攻击 者 可 以 通过 截获 数据 获得 对 网 络 资源 的 访问 。 即 使 通信 被 加 
密 , 攻 击 者 仍 可 收集 加 密 信 息 用 于 以 后 的 分 析 。 很 多 加 密 算 法 很 容易 被 破解 。 如 果 攻 击 者 
可 以 连接 到 无 线 网 络 上 ,他 还 可 以 使 用 ARP 欺骗 进行 主动 窃听 。ARP 欺骗 实际 上 是 一 种 
作用 在 数据 链 路 层 的 中 间 人 攻击 ,攻击 者 通过 给 目标 主机 发 送 ARP 欺骗 数据 包 来 旁 路 通 
信 。 当 攻击 者 收 到 目标 主机 的 数据 后 ,再 将 它 转发 给 真正 的 目标 主机 。 这 样 ,攻击 者 可 以 窃 
听 无 线 网 络 或 有 线 网 络 中 主机 间 的 通信 数据 。 

2. 通信 阻 断 

有 意 或 无 意 的 干扰 源 可 以 阻 断 通信 。 对 整个 网 络 进行 DoS 攻击 可 以 造成 通信 阻 断 ,使 


包括 客户 端 和 基站 在 内 的 整个 区 域 的 通信 线路 堵塞 ,造成 设备 之 间 不 能 正常 通信 。 针 对 无 
线 网 络 的 DoS 攻击 很 难 预防 。 此 外 .大 部 分 无 线 网 络 通信 都 采用 公共 频段 ,很 容易 受到 来 
自 其 他 设备 的 干扰 。 攻 击 者 可 以 采用 客户 端 阻 断 和 基站 阻 断 方式 来 阻 断 通 信 。 攻 击 者 可 能 
通过 客户 端 阻 断 占 用 或 假冒 被 阻 断 的 客户 端 ,也 可 能 只 是 对 客户 端 发 动 DoS 攻击 ; 攻击 者 
可 能 通过 基站 阻 断 假冒 被 阻 断 的 基站 。 如 前 所 述 , 有 很 多 设备 都 采用 公共 频道 进行 通信 ,他 
们 都 可 以 对 无 线 网 络 形成 干扰 。 所 以 在 部 署 无 线 网 络 前 ,电信 运营 商 一 定 要 进行 站 点 调查 ， 
以 验证 现 有 设备 不 会 对 无 线 网 络 形成 干扰 。 

3. 数据 的 注 和 人 和 算 改 

黑客 通过 向 已 有 连接 中 注入 数据 来 截获 连接 或 发 送 恶意 数据 和 命令 。 攻 击 者 能 够 通过 
基站 插入 数据 或 命令 来 自 改 控制 信息 ,造成 用 户 连接 中 断 。 数 据 注 入 可 被 用 作 DoS 攻击 。 
攻击 者 可 以 向 网 络 接 入 点 发 送 大 量 连接 请 求 包 , 使 接 入 点 用 户 连 接 数 超标 ,以 此 造成 接 入 点 
拒绝 合法 用 户 的 访问 。 如 果 上 层 协 议 没 有 提供 实时 数据 完整 性 检测 ,在 连接 中 注入 数据 也 
是 可 能 的 。 

4. 中 间 人 攻击 

中 间 人 攻击 与 数据 注入 攻击 类 似 ,所 不 同 的 是 它 可 以 采取 多 种 形式 ,主要 是 为 了 破坏 会 
话 的 机 密 性 和 完整 性 。 中 间 人 攻击 比 大 多 数 攻 击 更 复杂 ,攻击 者 需要 对 网 络 有 深入 的 了 解 。 
攻击 者 通常 伪装 成 网 络 资源 , 当 受 害 者 开始 建立 连接 时 ,攻击 者 会 截取 连接 ,并 与 目的 端 建 
立 连 接 , 同 时 将 所 有 通信 经 攻击 主机 代理 到 目的 端 。 这 时 ,攻击 者 就 可 以 注入 数据 、 修 改 通 
信和 数据 或 进行 窃听 攻击 。 

5. 客户 端 伪装 

通过 对 客户 端的 研究 ,攻击 者 可 以 模仿 或 克隆 客户 端的 身份 信息 ,以 试图 获得 对 网 络 或 
服务 的 访问 。 攻 击 者 也 可 以 通过 窃取 的 访问 设备 来 访问 网 络 。 要 保证 所 有 设备 的 物理 安全 
非常 困难 , 当 攻 击 者 通过 窃取 的 设备 发 起 攻击 时 ,通过 第 2 层 访问 控制 手段 来 限制 对 资源 的 
访问 都 将 失去 作用 。 

6. 接 人 点 伪装 

高 超 的 攻击 者 可 以 伪装 接 入 点 。 客 户 端 可 能 在 未 察觉 的 情况 下 连接 到 该 接 入 点 ,并 汇 
露 机 密 认 证 信息 。 这 种 攻击 方式 可 以 与 上 面 描述 的 接 入 点 通信 阻 断 攻 击 方式 结合 起 来 
使 用 。 

7. 匿名 攻击 

攻击 者 可 以 隐藏 在 无 线 网 络 覆盖 的 任何 角落 ,并 保持 匿名 状态 ,这 使 定位 和 犯罪 调查 变 
得 异常 困难 。 一 种 常见 的 匿名 攻击 称 为 沿街 扫描 , 指 攻击 者 在 特定 的 区 域 扫描 并 搜寻 开放 
的 无 线 网 络 。 这 个 名 称 来 自 一 种 古老 的 拨号 攻击 方式 一 一 沿街 扫描 , 即 通 过 拨打 不 通 的 电 
话 号 码 来 查找 Modem 或 其 他 网 络 人 口 。 值 得 注意 的 是 ,许多 攻击 者 发 动 匿 名 攻击 不 是 为 
了 攻击 无 线 网 络 本 身 ,只 是 为 了 找到 接 入 因特网 并 攻击 其 他 主机 的 跳板 。 因 此 , 随 着 匿名 接 
入 者 的 增多 ,针对 因特网 的 攻击 也 会 增加 。 

8. 客户 端 对 客户 端的 攻击 

在 无 线 网 络 上 ,一 个 客户 端 可 以 对 另 一 客户 端 进行 攻击 。 没 有 部 署 个 人 防火 墙 或 进行 
加 固 的 客户 端 如 果 受 到 攻击 ,很 可 能 会 泄露 用 户 名 和 密码 等 机 密 信息 。 攻 击 者 可 以 利用 这 
些 信息 获得 对 其 他 网 络 资源 的 访问 权限 。 在 对 等 模式 下 ,攻击 者 可 以 通过 发 送 伪造 路 由 协 
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议 报 文 以 产生 通路 循环 来 实施 拒绝 服务 攻击 ,或 者 通过 发 送 伪造 路 由 协议 报 文 生成 黑洞 ( 接 
收 和 扔 掉 数 据 报 文 ) 来 实现 各 种 形式 的 攻击 。 

9. 隐匿 无 线 信道 

网 络 的 部 署 者 在 设计 和 评估 网 络 时 ,需要 考虑 隐匿 无 线 信道 的 问题 。 由 于 硬件 无 线 接 
入 点 的 价格 逐渐 降低 ,以 及 可 以 通过 在 装 有 无 线 网 卡 的 机 器 上 安装 软件 来 实现 无 线 接 人 点 
的 功能 ,隐匿 无 线 信道 的 问题 日 趋 严重 。 网 络 管理 员 应 该 及 时 检查 网 络 上 存在 的 一 些 设置 
有 问题 或 非法 部 署 的 无 线 网 络 设备 。 这 些 设 备 可 以 在 有 线 网 络 上 制造 黑客 人 侵 的 后 门 ,使 
攻击 者 可 以 在 距离 网 络 很 远 的 地 点 实施 攻击 。 

10. 服务 区 标识 符 的 安全 问题 

服务 区 标识 符 (SSID) 是 无 线 接 入 点 用 于 标识 本 地 无 线 子 网 的 标识 符 。 如 果 一 个 客户 
端 不 知道 服务 区 标识 符 , 接 入 点 会 拒绝 该 客户 端 对 本 地 子 网 的 访问 。 当 客户 端 连接 到 接 入 
点 上 时 ,服务 区 标识 符 的 作用 相当 于 一 个 简单 的 口令 ,起 到 一 定 的 安全 防护 作用 。 如 果 接 入 
点 被 设置 成 对 SSID 进行 广播 ,那么 所 有 的 客户 端 都 可 以 接收 到 它 并 用 其 访问 无 线 网 络 。 
而 且 , 很 多 接 入 点 都 采用 出 厂 时 默认 设置 的 SSID 值 ,黑客 很 容易 通过 因特网 查 到 这 些 默 认 
值 。 黑 客 获得 这 些 SSID 值 后 ,就 可 以 对 网 络 实施 攻击 。 因 此 ,SSID 不 能 作为 保障 安全 的 
主要 手段 。 

11. 漫游 造成 的 问题 

无 线 网 络 与 有 线 网 络 的 主要 区 别 在 于 无 线 终端 的 移动 性 。 在 CDMA、GSM 和 无 线 以 
太 网 中 ,漫游 机 制 都 是 相似 的 。 很 多 TCP/IP 服务 都 要 求 客户 端 和 服务 端的 IP 地 址 保持 不 
变 ,但 是 , 当 用 户 在 网 络 中 移动 时 ,不 可 避免 地 会 离开 一 个 子 网 而 加 入 另 一 个 子 网 ,这 就 要 求 
无 线 网 络 提 供 漫游 机 制 。 移 动 IP 的 基本 原理 在 于 地 点 注册 和 报 文 转发 ,一 个 与 地 点 无 关 的 
地 址 用 于 保持 TCP/IP 连接 ,而 另 一 个 随地 点 变化 的 临时 地 址 用 于 访问 本 地 网 络 资源 。 在 
移动 IP 系统 中 , 当 一 个 移动 节点 漫游 到 一 个 网 络 时 ,就 会 获得 一 个 与 地 点 有 关 的 临时 地 址 ， 
并 注册 到 外 地 代理 上 。 外 地 代理 会 与 所 属地 代理 联系 ,通知 所 属地 代理 有 关 移 动 节点 的 接 
人 情况。 所 属地 代理 将 所 有 发 往 移动 节点 的 数据 包 转 发 到 外 地 代理 上 。 这 种 机 制 会 带 来 一 
些 问 题 : 首先 ,攻击 者 可 以 通过 对 注册 过 程 的 重 放 来 获取 发 送 到 移动 节点 的 数据 ; 其 次 , 攻 
击 者 也 可 以 模拟 移动 节点 以 非法 获取 网 络 资源 。 


9.3 无 线 局 域 网 安全 技术 


无 线 局 域 网 的 安全 技术 包括 物理 地 址 (MAC 地 址 ) 过 滤 ,服务 区 标识 符 (SSID) 匹 配 , 连 
线 对 等 保密 (WEP) 等 。 


9.3.1 物理 地 址 过 滤 


每 个 无 线 客户 端 网 卡 都 由 唯一 的 48 位 物理 地 址 (MAC 地 址 ) 标 志 , 可 在 AP 中 手工 维 
护 一 组 允许 访问 的 MAC 地 址 列表 ,实现 物理 地 址 过 滤 。 物 理 地 址 过 滤 属 于 硬件 认证 ,而 不 
是 用 户 认 证 。 这 种 方式 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 。 如 果 用 户 增加 , 则 扩 
展 能 力 变 差 ,效率 会 随 着 终端 数目 的 增加 而 降低 ,因此 只 适用 于 小 型 网 络 规模 。 


非法 用 户 通过 网 络 监听 就 可 获得 合法 的 MAC 地 址 表 , 而 MAC 地 址 并 不 难 修改 ,因而 
非法 用 户 完全 可 以 通过 盗用 合法 用 户 的 MAC 地 址 非法 接 入 。MAC 地 址 过 滤 如 图 9-1 
所 示 。 


MAC 0CO0AB1238BC 
MAC 地 址 控制 接 入 表 
MAC 00EFOAB12EC8 
MAC 000EC112E2BC 
MAC 0CO00AB1166BC 


MAC 00EFOAB12EC8 
图 9-1 MAC 地 址 过 滤 


9.3.2 服务 区 标识 符 匹 配 


无 线 客户 端 必须 设置 与 无 线 访 问 点 AP 相同 的 SSID 才能 访问 IP。 利 用 SSID 设置 ,可 
以 很 好 地 进行 用 户 群 体 分 组 ,避免 任意 漫游 带 来 的 安全 和 访问 性 能 降低 的 问题 。 可 以 通过 
设置 隐藏 接 人 点 及 SSID 区 域 的 划分 和 权限 控制 来 达到 保密 的 目的 ,因此 可 以 认为 SSID 是 
一 个 简单 的 口令 ,通过 提供 口令 认证 机 制 ,确保 一 定 程度 的 安全 。 服 务 区 标识 符 匹 配 如 
图 9-2 所 示 。 


ESS ID: Group2 


ESS ID : Groupl ESS ID : Group2 


图 9-2 服务 区 标识 符 匹配 


如 果 配 置 AP 向 外 广播 其 SSID, 那 么 安全 程度 将 下 降 , 因 为 一 般 情况 下 用 户 自己 配置 
客户 端 系统 ,很 多 人 都 知道 该 SSID, 所 以 很 容易 共享 给 非法 用 户 。 有 的 厂家 支持 所 有 SSID 
方式 ,只 要 无 线 工 作 站 在 某 个 AP 范围 内 ,客户 端 都 会 自动 连接 到 AP, 这 将 跳 过 SSID 安全 
功能 。 


才 汽 


无 线 网 络 安 会 


网 络 作 会 基础 


9.3.3 连 线 对 等 保密 


IEEE 802. 11b 标准 定义 了 一 个 加 密 协 议 WEP(Wired Equivalent Privacy) ,用 来 对 无 


线 局 域 网 中 的 数据 流 提供 安全 保护 。 该 协议 采用 RC4 流 加 密 算 法 ,提供 的 功能 主要 包括 以 
下 两 点 。 


算 : 


(1) 访问 控制 : 防止 没有 WEP 密 钥 的 非法 用 户 访问 网 络 。 

(2) 保护 隐私 : 通过 加 密 手段 保护 无 线 局 域 网 上 传输 的 数据 。 

1. WEP 加 密 过 程 

WEP 加 密 过 程 如 图 9-3 所 示 。 从 图 中 可 以 看 出 ,在 对 明文 数据 的 处 理 上 采用 了 两 种 运 
一 是 对 明文 进行 的 流 加 密 运 算 ( 即 异 或 运算 ); 二 是 为 了 防止 数据 被 非法 算 改 而 进行 的 


数据 完整 性 检查 向 量 (ICV) 运 算 。 


入 向 
初始 向 量 一 上 一 [会 十 答 和 -| 全 天 机 初始 向 量 
密 角 并 生成 器 | 密 铀 序列 - 
| 密 文 
| 合 
完整 性 算法 | icV | 并 


图 9-3 WEP 加 密 过 程 


(1) 40 位 的 加 密 密 钥 与 24 位 的 初始 向 量 (IV) 结 合 在 一 起 ,形成 64 位 长 度 的 密 钥 。 

(2) 生成 的 64 位 密 钥 被 输入 到 伪 随 机 数 生成 器 (PRNG) 中 。 

(3) 伪 随 机 数 生成 器 输出 一 个 伪 随 机 密 钥 序列 。 

(4) 生成 的 序列 与 数据 进行 位 异 或 运算 ,形成 密 文 。 

为 了 保证 数据 不 被 非法 算 改 ,一 种 完整 性 算法 (CRC32) 会 应 用 在 明文 上 ,生成 32 位 的 


ICV。 明 文 与 32 位 的 ICV 合并 后 被 加 密 , 密 文 与 IV 一 起 被 传输 到 目的 地 。 


2. WEP 解密 过 程 
WEP 解密 过 程 如 图 9-4 所 示 ,为 了 对 数据 流 进行 解密 ,WEP 进行 如 下 操作 。 


密 钥 合 
并 二 一 明 交 
初始 向 量 完整 性 算法 ICV 
比较 过 一 
密 文 ICV 


图 9-4 WEP 解密 过 程 


(1) 接收 到 的 IV 被 用 来 产生 密 钥 序列 。 
(2) 加 密 数 据 与 密 钥 序 列 一 道 产生 解密 数据 和 ICV 。 
(3) 解密 数据 通过 数据 完整 性 算法 生成 ICV 。 


(4) 将 生成 的 ICV 与 接收 到 的 ICV 进行 比较 。 如 果 不 一 致 ,将 错误 信息 报告 给 发 
送 方 。 

3. WEP 认证 方法 

一 个 客户 端 如 果 没 有 被 认证 ,将 无 法 接 人 无 线 局 域 网 ,因此 必须 在 客户 端 设置 认证 方 
式 ,而 且 该 方式 应 与 接 人 点 采用 的 方式 兼容 。IEEE 802. 11b 标准 定义 了 两 种 认证 方式 : 开 
放 系统 认证 和 共享 密 钥 认证 。 

1) 开放 系统 认证 

开放 系统 认证 是 IEEE 802. 11 协议 采用 的 默认 认证 方式 。 开 放 系 统 认证 对 请 求 认 证 
的 任何 人 提供 认证 。 整 个 认证 过 程 通过 明文 传输 完成 ,即使 某 个 客户 端 无 法 提供 正确 的 
WEP 密 钥 ,也 能 与 接 人 点 建立 联系 。 

2) 共享 密 钥 认证 

共享 密 钥 认证 采用 标准 的 挑战 /响应 机 制 , 以 共享 密 钥 来 对 客户 端 进行 认证 。 该 认证 方 
式 允 许 移动 客户 端 使 用 一 个 共享 密 钥 来 加 密 数据 。WEP 人 允许 管理 员 定义 共享 密 钥 ,没有 共 
享 密 钥 的 用 户 将 被 拒绝 访问 。 用 于 加 密 和 解密 的 密 钥 也 被 用 于 提供 认证 服务 ,但 这 会 带 来 
安全 隐患 。 与 开放 系统 认证 相 比 ,共享 密 钥 认证 方式 能 够 提供 更 好 的 认证 服务 。 如 果 一 个 
客户 端 采用 这 种 认证 方式 , 它 必 须 支持 WEP。WEP 认证 过 程 如 图 9-5 所 示 。 

客户 端 接 入 点 

认证 请 求 


挑战 回应 


图 9-5 WEP 认证 过 程 


4. WEP 密 钥 管理 

共享 密 钥 被 存储 在 每 个 设备 的 管理 信息 数据 库 中 。 虽 然 IEEE 802. 11 标准 没有 指出 
如 何 将 密 钥 分 发 到 各 个 设备 上 ,但 它 提 到 了 以 下 两 种 解决 方案 。 

(1) 各 设备 与 接 入 点 共享 一 组 共 4 个 默认 密 钥 。 

(2) 每 个 设备 与 其 他 设备 建立 密 钥 对 关系 。 

第 一 种 方案 提供 了 4 个 密 钥 。 如 果 一 个 客户 端 获得 了 这 些 默认 密 钥 ,该 客户 端 就 可 
以 与 整个 子 系统 的 所 有 设备 进行 通信 。 客 户 端 或 接 和 人 点 可 以 采用 这 4 个 密 钥 中 的 任意 一 
个 来 实施 加 密 和 解密 运算 。 这 种 方案 的 缺点 是 ,如 果 默 认 密 钥 被 广泛 分 发 ,它们 就 可 能 
被 泄漏 。 

第 二 种 方案 中 ,每 个 客户 端 都 要 与 其 他 所 有 设备 建立 一 个 密 钥 对 映射 表 , 每 个 不 同 
的 MAC 地 址 都 有 一 个 不 同 的 密 钥 , 且 知道 此 密 钥 的 设备 较 少 ,所 以 这 种 方案 更 安全 。 虽 
然 这 种 方案 减 小 了 受 攻 击 的 可 能 性 ,但 是 随 着 设备 数量 的 增加 , 密 钥 的 人 工分 发 会 变 得 
很 困难 。 
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一 、 填 空 题 
. 无 线 局 域 网 是 利用 ( ) 技 术 , 取 代 旧 式 的 双 绞 铜 线 构成 局 域 网 。 
. 没有 基站 的 无 线 局 域 网 又 叫 作 ( » 
IEEE 802. 11 定义 了 5 种 分 发 服务 ,分别 是 关联 分离 .重新 关联 、 分 发 
. WEP 加 密 过 程 中 ,对 明文 数据 的 处 理 采 用 两 种 运算 ,一 是 对 明文 进行 的 ( ) 运 
是 数据 完整 性 检查 向 量 运算 。 
. IEEE 802. 11b 标准 定义 了 两 种 认证 方式 ,分 别 是 开放 系统 认证 和 ( ) 认 证 。 
二 、 选择 题 
.以 下 ( ) 是 无 线 局 域 网 最 大 的 问题 。 
A. 可 靠 性 低 B. 安全 性 差 
C. 传输 速率 低 D. 移动 通信 能 力 弱 


2 


. 关于 WEP, 以 下 描述 错误 的 是 ( Ns 
A. 一 次 性 密 钥 不 会 重复 
B. 用 循环 元 余 码 检测 数据 完整 性 
C. 伪 随 机 数 生成 算法 作为 产生 一 次 性 密 钥 的 单 向 函数 
D. 采用 流 密码 体制 
. 关于 WEP 加 密 , 以 下 描述 错误 的 是 ( )。 
A. 终端 和 AP 必须 具有 相同 的 密 钥 K 
B. 为 了 同步 一 次 性 密 钥 ,发 送 端 需要 向 接收 端 发 送 IV 明文 
C. 黑客 无 法 通过 嗅 探 经 过 无 线 网 络 传输 的 信息 获得 密 钥 有 
D. 黑客 无 法 破译 嗅 探 到 的 经 过 无 线 网 络 传输 的 密 文 
. 关于 WEP 加 密 , 以 下 描述 错误 的 是 ( hs 
A. 共享 密 钥 是 授权 接 入 BSS 的 授权 标识 符 
B. 共享 密 钥 长 度 可 以 是 40 位 或 者 104 位 
C. 一 次 性 密 钥 的 数量 与 共享 密 钥 长 度 无 关 
D. 一 次 性 密 钥 的 长 度 等 于 共享 密 钥 的 长 度 
. 关于 WEP 鉴别 机 制 , 以 下 描述 错误 的 是 ( Ws 
A. 共享 密 钥 是 授权 终端 接 入 的 授权 标识 名 


B.AP 通过 判断 终端 能 否 计 算出 特定 IV 下 的 一 次 性 密 钥 判断 终端 是 否 拥 有 共享 密 钥 


C. 通过 嗅 探 可 以 获取 特定 IV 下 的 一 次 性 密 钥 
D. 通过 嗅 探 可 以 获取 共享 密 钥 


三 、 判断 题 


1 


. IEEE 802. 11 标准 规定 无 线 局 域 网 的 最 小 构件 是 基本 服务 集 BSS。 


2. ZigBee 技术 主要 特点 是 通信 距离 短 ,成 本 低 ,但 功 耗 大 。 
3. 服务 区 标识 符 (SSID) 是 无 线 接 入 点 用 于 标识 本 地 无 线 子 网 的 标识 符 ,如 果 用 户 不 知 


道 SS 


ID, 接 入 点 会 拒绝 该 用 户 对 本 地 子 网 的 访问 。 
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4. 物理 地 址 过 滤 技 术 适 用 于 大 型 网 络 。 

5. 无 线 传感器 网 络 是 由 大 量 传感器 节点 通过 无 线 通信 技术 构成 的 自 组 网 络 。 

四 、 综 合 题 

1. 假定 存在 以 下 伪 WEP 协议 ,共享 密 钥 为 4 位 , 取 值 1010。IV 为 2 位 ,对 应 2 位 的 
IV 的 4 种 组 合 的 4 个 一 次 性 密 钥 如 下 。 

101000: 0010101101010101001011010100100… 

101001: 1010011011001010110100100101101… 

101010: 0001101000111100010100101001111… 

101011: 1111101010000000101010100010111…- 

假设 所 有 消息 的 长 度 固定 为 8 位 ,ICV 为 4 位 ,ICV 是 消息 的 前 4 位 与 后 4 位 异 或 运算 
结果 。 伪 WEP 分 组 包含 3 个 字段 : IV 字段 .消息 字段 和 ICV 字段 ,对 消息 字段 和 ICV 字 
段 进 行 加 密 。 

(1) 如 果 伪 WEP 协议 在 IV=11 的 条 件 下 发 送 消息 m 王 10100000, 求 出 WEP 分 组 三 
个 字段 的 值 。 

(2) 给 出 接收 端 解密 该 WEP 分 组 .完成 消息 完整 性 检测 的 过 程 。 

(3) 如 果 黑 客 截获 了 一 个 WEP 分 组 (IV 值 任意 ) ,并 在 向 接收 端 转发 该 WEP 分 组 前 
算 改 该 WEP 分 组 ,由 于 黑客 不 知道 共享 密 钥 ,因此 没有 任何 IV 值 对 应 的 一 次 性 密 钥 。 假 
定 黑 客 翻转 了 ICYV 的 每 一 位 , 则 黑客 还 须 翻 转 哪些 其 他 位 ,才能 使 接收 端 成 功 完成 完整 性 
检测 过 程 。 

2. 假定 MAC 帧 长 度 为 200B, 无 线 局 域 网 传输 速率 为 56Mb/s, 求 出 发 送 完 对 应 IV 所 
有 可 能 组 合 的 MAC 帧 所 需 的 时 间 ( 忽 略 MAC 帧 帧 间 间 隔 时 间 ) 。 


第 10 章 网 络 安全 方案 设计 


【本 章 学 习 目标 】 
。 理解 网 络 安全 方案 的 基本 概念 
。 重点 掌握 如 何 根据 需求 写 出 一 份 完整 的 网 络 安全 的 解决 方案 


10.1 网 络 安全 方案 概述 


网 络 安全 方案 可 以 认为 是 一 张 施工 的 图 纸 ,图纸 的 好 坏 直 接 影响 到 工程 质量 的 高 低 。 
总 的 来 说 ,网 络 安全 方案 涉及 的 内 容 比 较 多 .比较 广 .比较 专业 和 实际 。 


10.1.1 评价 网 络 安 全 方案 的 质量 标准 


一 份 网 络 安全 方案 需要 从 以 下 8 个 方面 来 把 握 。 

(1) 体现 唯一 性 ,由 于 安全 的 复杂 性 和 特殊 性 ,唯一 性 是 评估 安全 方案 最 重要 的 一 个 标 
准 。 实 际 工作 中 ,每 一 个 特定 网 络 都 是 唯一 的 ,需要 根据 实际 情况 来 处 理 。 

(2) 对 安全 技术 和 安全 风险 有 一 个 综合 把 握 和 理解 ,包括 现在 和 将 来 可 能 出 现 的 所 有 
情况 。 

(3) 对 用 户 的 网 络 系统 可 能 遇 到 的 安全 风险 和 安全 威胁 ,结合 现 有 的 安全 技术 和 安全 
风险 ,要 有 一 个 适合 .中 肯 的 评估 ,不 能 夸大 ,也 不 能 缩小 。 

(4) 对 症 下 药 , 用 相应 的 安全 产品 、 安 全 技术 和 管理 手段 ,降低 用 户 的 网 络 系统 在 当前 
可 能 遇 到 的 风险 和 威胁 ,消除 风险 和 威胁 的 根源 ,增强 整个 网 络 系统 抵抗 风险 和 威胁 的 能 
力 ,增强 系统 本 身 的 免疫 力 。 

(5) 方案 中 要 体现 出 对 用 户 的 服务 支持 。 这 是 很 重要 的 一 部 分 ,因为 产品 和 技术 ,都 将 
会 体现 在 服务 中 ,用 服务 来 保证 质量 、 提 高 质量 。 

(6) 在 设计 方案 的 时 候 , 要 明白 网 络 系统 安全 是 一 个 动态 的 .整体 的 .专业 的 工程 ,不 能 
一 步 到 位 解决 用 户 所 有 的 问题 。 

(7) 方案 出 来 后 ,要 不 断 地 和 用 户 进行 沟通 ,及 时 得 到 他 们 对 网 络 系 统 在 安全 方面 的 要 
求 ,期望 和 所 遇 到 的 问题 。 

(8) 方案 中 所 涉及 的 产品 和 技术 .都 要 经 得 起 验证 、 推 殴 和 实施 ,要 有 理论 根据 ,也 要 有 
实际 基础 。 

将 上 面 八 点 融会 贯通 ,经 过 不 断 地 积累 经 验 , 就 能 写 出 一 份 很 实用 的 安全 项 目 
方案 。 


10.1.2 网 络 安 全 方案 的 框架 


总 体 来 说 ,一 份 安全 解决 方案 的 框架 涉及 6 大 方面 ,可 以 根据 用 户 的 实际 需求 取舍 其 中 
的 某 些 方面 。 

1. 概要 安全 风险 分 析 

对 当前 的 安全 风险 和 安全 威胁 做 一 个 概括 和 分 析 , 最 好 能 够 突出 用 户 所 在 的 行业 ,并 结 
合 其 业务 特点 、 网 络 环境 和 应 用 系统 等 。 同 时 ,要 有 和 针对 性 ,如 政府 行业 、 电 力行 业 、 金 融 行 
业 等 ,要 体现 很 强 的 行业 特点 ,使 人 信服 和 接受 。 

2. 实际 安全 风险 分 析 

实际 安全 风险 分 析 一 般 从 以 下 4 个 方面 进行 分 析 。 

(1) 确定 要 保护 的 资产 及 价值 。 如 果 不 知 道 要 保护 什么 内 容 , 或 者 不 知道 要 保护 内 容 
的 情况 , 那 就 谈 不 上 安全 了 。 明 确 要 保护 的 资产 、 资 产 的 位 置 及 资产 的 重要 性 是 安全 风险 分 
析 的 关键 。 

(2) 分 析 信息 资产 之 间 的 相互 依赖 性 。 由 于 某 项 资产 的 损失 可 能 会 导致 其 他 资产 的 失 
效 ,因此 ,在 确定 资产 的 时 候 还 要 考虑 资产 之 间 的 关联 性 。 

(3) 确定 存在 的 风险 和 威胁 。 确 定 了 要 保护 的 资产 后 ,就 应 该 分 析 对 资产 的 潜在 
威胁 以 及 受 此 威胁 的 可 能 性 。 威 胁 可 以 是 任何 可 能 对 资产 造成 损失 的 个 人 、 对 象 或 事 
件 ,威胁 也 可 能 是 故意 的 或 偶然 的 。 明 确 存在 哪些 弱点 漏洞 及 这 些 弱点 漏洞 的 风险 级 
别 ,分析 资产 所 面临 的 威胁 发 生 的 可 能 性 ,以 及 一 旦 出 现 安 全 问题 可 能 造成 什么 样 的 
影响 等 。 

(4) 分 析 可 能 的 入侵 者 。 要 分 析 可 能 的 入 侵 者 存在 的 数量 ,进行 攻击 的 可 能 性 ,进行 攻 
击 时 威胁 有 多 大 等 。 

3. 网 络 系统 的 安全 原则 

安全 原则 体现 在 5 个 方面 : 动态 性 ,唯一 性 ,整体 性 、 专 业 性 和 严密 性 。 

(1) 动态 性 : 不 要 把 安全 静态 化 ,动态 性 是 安全 的 一 个 重要 的 原则 。 网 络 、 系 统 和 应 用 
会 不 断 出 现 新 的 风险 和 威胁 ,这 决定 了 安全 动态 性 的 重要 性 。 

(2) 唯一 性 : 安全 的 动态 性 决定 了 安全 的 唯一 性 ,针对 每 个 网 络 系统 安全 的 解决 ,都 应 
该 是 独一无二 的 。 

(3) 整体 性 : 对 于 网 络 系统 所 遇 到 的 风险 和 威胁 ,要 从 整体 来 分 析 和 把 握 , 不 能 哪里 有 
问题 就 补 哪里 ,要 做 到 全 面 地 保护 和 评估 。 

(4) 专业 性 : 对 于 用 户 的 网 络 、 系 统 和 应 用 ,要 从 专业 的 角度 来 分 析 和 把 握 , 不 能 是 一 
种 大 概 的 做 法 。 

(5) 严密 性 : 整个 解决 方案 要 有 一 种 很 强 的 严密 性 ,不 要 给 人 一 种 虚假 的 感觉 ,在 设计 
方案 时 ,需要 从 多 方面 对 方案 进行 论证 。 

4. 安全 产品 

常用 的 安全 产品 有 5 种 : 防火 墙 防 病毒 ,身份 认 证 ,传输 加 密 和 入 侵 检测 。 结 合用 户 
的 网 络 、 系 统 和 应 用 的 实际 情况 ,对 安全 产品 和 安全 技术 做 比较 和 分 析 , 分 析 要 客观 、 结 果 要 
中 肯 , 帮 助 用 户 选择 最 能 解决 他 们 所 遇 到 问题 的 产品 ,不 要 求 新 、 求 好 和 求 大 。 


(1) 防火 墙 : 对 包 过 滤 技 术 、 代 理 技术 和 状态 检测 技术 的 防火 墙 ,都 做 一 个 概括 和 比 
较 ,结合 用 户 网 络 系统 的 特点 ,帮助 用 户 选择 一 种 安全 的 产品 ,对 于 选择 的 产品 ,一 定 要 从 中 
立 的 角度 来 说 明 。 

(2) 防 病毒 : 针对 用 户 的 系统 和 应 用 的 特点 ,对 桌面 防 病毒 .服务 器 防 病毒 和 网 络 防 病 
毒 做 一 个 概括 和 比较 ,详细 指出 用 户 必须 如 何 做 ,否则 就 会 带 来 什么 的 安全 威胁 ,一 定 要 中 
肯 、` 适 合 , 不 要 夸大 和 缩小 。 

(3) 身份 认证 : 从 用 户 的 系统 和 用 户 的 认证 的 情况 进行 详细 的 分 析 , 指 出 网 络 和 应 用 
本 身 的 认证 方法 会 出 现 哪些 风险 ,结合 相关 的 产品 和 技术 ,通过 部 署 这 些 产品 和 采用 相关 的 
安全 技术 ,能 够 帮助 用 户 解决 系统 和 应 用 的 传统 认证 方式 所 带 来 的 风险 和 威胁 。 

(4) 传输 加 密 : 要 用 加 密 技 术 来 分 析 , 指 出 明文 传输 的 巨大 危害 ,通过 结合 相关 的 加 密 
产品 和 技术 ,能够 指出 用 户 目前 的 情况 存在 哪些 危害 和 风险 。 

(5) 入 侵 检测 : 对 入 侵 检测 技术 进行 详细 的 解释 ,在 用 户 的 网 络 和 系统 部 署 了 相关 的 
产品 之 后 ,详细 分 析 现 有 的 安全 情况 产生 的 影响 。 结 合 相关 的 产品 和 技术 ,指出 用 户 的 系统 
和 网 络 会 带 来 哪些 好 处 ,为 什么 必须 要 这 样 做 ,以 及 不 这 样 做 会 带 来 什么 后 果 。 

5. 风险 评估 

风险 评估 是 网 络 安全 防御 中 的 一 项 重要 技术 ,也 是 信息 安全 工程 学 的 重要 组 成 部 
分 。 其 原理 是 对 采用 的 安全 策略 和 规章 制度 进行 评审 ,发现 不 合理 的 地 方 ,采用 模拟 攻 
击 的 形式 对 目标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检查 ,确定 存在 的 安全 隐患 和 风险 
级 别 。 

6. 安全 服务 

安全 服务 不 是 产品 化 的 东西 ,而 是 通过 技术 向 用 户 提供 的 持久 支持 。 对 于 不 断 更 新 的 
安全 技术 ,安全 风险 和 安全 威胁 ,安全 服务 的 作用 变 得 越 来 越 重 要 。 

(1) 网 络 拓扑 安全 : 结合 网 络 的 风险 和 威胁 ,详细 分 析 用 户 的 网 络 拓扑 结构 ,根据 其 特 
点 ,指出 现在 或 将 来 会 存在 哪些 安全 风险 和 威胁 ,并 运用 相关 的 产品 和 技术 ,来 帮助 用 户 消 
除 产生 风险 和 威胁 的 根源 。 

(2) 系统 安全 加 固 : 通过 风险 评估 和 人 工分 析 , 找 出 用 户 的 相关 系统 已 经 存在 或 是 将 
来 会 存在 的 风险 和 威胁 ,并 运用 相关 的 产品 和 技术 ,来 加 固 用 户 的 系统 安全 。 

(3) 应 用 安全 : 结合 用 户 的 相关 应 用 程序 和 后 台 支 撑 系 统 ,通过 相应 的 风险 评估 和 人 
工分 析 , 找 出 用 户 和 相关 应 用 已 存在 或 是 将 来 会 存在 的 风险 ,并 运用 相关 的 产品 和 技术 ,来 
加 固 用 户 的 应 用 安全 。 

(4) 灾难 恢复 : 结合 用 户 的 网 络 、 系 统 和 应 用 ,通过 详细 的 分 析 、 针 对 可 能 遇 到 的 灾难 ， 
制定 出 一 份 详细 的 恢复 方案 ,把 由 于 其 他 突 发 情况 所 带 来 的 风险 降 到 最 低 , 并 有 一 个 良好 的 
应 付 方案 。 

(5) 安全 规范 : 制定 出 一 套 完 善 的 安全 方案 ,比如 IP 地 址 绑 定 、 离 开 计算 机 时 需要 锁定 
等 。 结 合 实际 分 成 多 套 方案 ,如 系统 管理 员 安 全 规范 、 网 络 管理 员 安 全 规范 、 高 层 领导 的 安 
全 规范 、 普 通 员工 的 管理 规范 、 设 备 使 用 规范 和 安全 环境 规范 。 

(6) 服务 体系 和 培训 体系 : 提供 售 前 和 售后 服务 ,并 提供 安全 产品 和 技术 的 相关 
培训 。 
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网 络 安 会 基础 


10.2 ”网络 安全 案例 需求 


网 络 安全 的 唯一 性 和 动态 性 决定 了 不 同 的 网 络 需要 有 不 同 的 解决 方案 。 下 面 通过 一 个 
实际 案例 ,学习 如 何 提高 安全 方案 设计 能 力 。 

项 目 名称 : 常 盛 信息 集团 公司 (公司 名 为 虚构 ) 网 络 安全 方案 。 

1. 案例 背景 

(1) 为 了 保证 网 络 出 口 稳定 可 靠 , 企 业 向 ISP 申请 了 两 条 因特网 线路 ,需要 这 两 条 线路 
做 负载 均衡 和 元 余 备 份 。 

(2) 管理 性 : 网 络 设备 需 能 够 支持 灵活 多 样 的 管理 方式 ,可 以 减轻 管理 ,维护 的 难度 。 

2. 项 目 要 求 

公司 在 网 络 安全 方面 提出 了 5 方面 的 要 求 。 

1) 安全 性 

全 面 有 效 地 保护 企业 网 络 系统 的 安全 ,保护 计算 机 硬件 ,软件 、 数 据 、 网 络 不 因 偶然 的 或 
恶意 破坏 的 原因 遭 到 更 改 .泄漏 和 丢失 ,确保 数据 的 完整 性 。 

2) 可 控 性 和 可 管理 性 

可 自动 和 手动 分 析 网 络 安全 状况 ,适时 检测 并 及 时 发 现 记 录 潜 在 的 安全 威胁 ,制定 安全 
策略 ,及 时 报警 阻 断 不 良 攻 击 行为 ,具有 很 强 的 可 控 性 和 可 管理 性 。 

3) 系统 的 可 用 性 

在 某 部 分 系统 出 现 问 题 时 ,不 影响 企业 信息 系统 的 正常 运行 ,具有 很 强 的 可 用 性 和 及 时 
恢复 性 。 

4) 可 持续 发 展 

满足 常 盛 信 息 集团 公司 业务 需求 和 企业 可 持续 发 展 的 要 求 ,具有 很 强 的 可 扩展 性 和 和 柔 
筷 性 。 

5) 合法 性 

所 采用 的 安全 设备 和 技术 具有 我 国安 全 产品 管理 部 门 的 合法 认证 。 

3. 工作 任务 

该 项 目的 工作 任务 包含 4 个 方面 。 

(1) 研究 常 盛 信息 集团 公司 计算 机 网 络 系统 的 运行 情况 ,对 网 络 面临 的 威胁 及 可 能 承 
担 的 风险 进行 定性 与 定量 的 分 析 和 评估 。 

(2) 研究 常 盛 信息 集团 公司 的 计算 机 操作 系统 的 运行 情况 ,在 操作 系统 最 新 发 展 
趋势 的 基础 上 ,对 操作 系统 本 身 的 缺陷 及 可 能 承担 的 风险 进行 定性 和 定量 的 分 析 和 
评估 。 

(3) 研究 常 盛 信息 集团 公司 的 计算 机 应 用 系统 的 运行 情况 ,在 满足 各 级 管理 人 员 、 业 务 
操作 人 员 的 业务 需求 的 基础 上 ,对 应 用 系统 存在 的 问题 .面临 的 威胁 及 可 能 承担 的 风险 进行 
定性 和 定量 的 分 析 和 评估 。 

(4) 根据 以 上 的 定性 和 定量 的 评估 ,结合 用 户 需 求 和 国内 外 网 络 安全 最 新 发 展 趋势 ,有 


针对 性 地 制定 常 盛 信息 集团 公司 计算 机 网 络 系统 的 安全 策略 和 解决 方案 ,确保 该 公司 计算 
机 网 络 信息 系统 安全 可 靠 地 运行 。 

4. 案例 拓扑 结构 

常 盛 信息 集团 公司 网 络 安全 方案 拓扑 结构 如 图 10-1 所 示 。 


电信 网 通 


S2126G S2126G S2126G S2126G 
图 10-1 拓扑 结构 


5. 地 址 规划 
地 址 规则 见 表 10-1 所 示 。 


表 10-1 地 址 规划 表 


设 备 IP 地 址 备注 
R2624-A 192. 168. 1. 253/24 R2624-A E0 
R2624-B 192. 168. 1. 254/24 R2624-B EO 
虚拟 备份 组 10 192. 168. 1. 1/24 虚拟 备份 组 10 
虚拟 备份 组 20 192. 168. 1. 2/24 虚拟 备份 组 20 


10.3 网络 安全 方案 设计 


安 卓 网 络 安 全 公司 (公司 名 为 虚构 ) 通 过 招标 ,以 150 万 的 工程 造价 得 到 了 该 项 目的 实 
施 权 。 在 解决 方案 设计 中 需要 包含 九 方面 的 内 容 : 公司 背景 简介 、 常 盛 信 息 集团 的 安全 风 
险 分 析 、 完 整 网 络 安 全 实施 方案 的 设计 .实施 方 案 计 划 、 技 术 支 持 和 服务 承诺 、 产 品 报价 、 产 
品 介绍 .第 三 方 检测 报告 和 安全 技术 培训 。 

1. 公司 背景 简介 


介绍 安 卓 网 络 安全 公司 的 背景 需要 包括 : 公司 简介 、 公 司 人 员 结 构 、 曾 经 成 功 的 案例 、 
产品 或 者 服务 的 许可 证 或 认证 。 章 


网 络 安 全 方 笑 说 计 


1) 安 卓 网 络 安全 公司 简介 

使 用 户 对 公司 有 一 个 好 的 印象 ,可 以 使 工作 更 顺利 地 得 以 执行 和 完成 ,在 这 里 不 仅 要 介 
ei 还 要 体现 出 公司 的 优越 性 、 实 力 及 公司 的 先进 性 。 

公司 的 人 员 结 构 

sy 了 解 公司 实力 的 一 个 最 直接 途径 ,是 一 份 必 不 可 少 的 材料 。 

3) 成 功 的 案例 

这 里 主要 介绍 公司 以 往 的 成 功 案例 ,特别 是 要 指出 与 用 户 项 目 相 似 的 成 功 案 例 ,这 样 可 
以 使 用 户 相信 公司 有 足够 的 经 验 来 做 好 这 件 事情 。 

4) 产品 的 许可 证 或 服务 的 认证 

产品 的 许可 证 是 一 ee 因为 只 有 取得 许可 证 的 安全 产品 , 才 人 允许 在 国内 
销售 。 网 络 安全 属于 提供 服务 的 公司 ,只 有 通过 国际 认证 才能 取得 用 户 更 大 的 信任 。 

5 pining em at 

项 目 完成 后 ,和 常 盛 信息 集团 公司 的 系统 信息 安全 能 到 一 个 怎样 的 保护 水 平 ,要 特别 结合 
当前 的 安全 风险 和 威胁 来 分 析 。 

2. 安全 风险 分 析 

安全 风险 分 析 主 要 是 对 网 络 物理 结构 .网络 系统 和 应 用 进行 风险 分 析 。 

1) 现 有 网 络 物理 结构 安全 分 析 

详细 分 析 常 盛 信息 集团 公司 与 各 分 公司 的 网 络 结构 ,包括 内 部 网 .外 部 网 和 远程 网 。 

2) 网 络 系统 安全 分 析 

详细 分 析 常 盛 信 息 集 团 公 司 与 各 分 公司 网 络 的 实际 连接 .因特网 的 访问 情况 .桌面 系统 
的 使 用 情况 和 主机 系统 的 使 用 情况 , 找 出 可 能 存在 的 安全 风险 。 

3) 网 络 应 用 的 安全 分 析 

详细 分 析 常 盛 信息 集团 公司 与 各 分 公司 的 所 有 服务 系统 以 及 应 用 系统 , 找 出 可 能 存在 
的 安全 风险 。 

3. 解决 方案 

解决 方案 包括 5 个 方面 。 

1) 建立 常 盛 信息 集团 公司 系统 信息 安全 体系 结构 框架 

通过 具体 分 析 常 盛 信息 集团 公司 的 具体 业务 和 网 络 、. 系统、 应 用 等 实际 应 用 情况 ,初步 
建立 一 个 整体 的 安全 体系 结构 框架 。 

2) 技术 实施 策略 

技术 实施 策略 需要 从 网 络 结构 安全 .主机 安全 加 固 、 防 病毒 .访问 控制 .传输 加 密 、 身 份 
认证 ,入 侵 检测 技术 及 风险 评估 等 8 个 方面 进行 阐述 。 

3) 安全 管理 工具 

对 安全 项 目 中 所 用 到 的 安全 产品 进行 集中 、 统 一 ,安全 的 管理 和 培训 。 

4) 紧急 响应 

制定 详细 的 紧急 响应 计划 ,及 时 响应 用 户 的 网 络 、 系 统 和 应 用 可 能 会 遭 到 的 破坏 。 


5) 灾难 恢复 

制定 详细 的 灾难 恢复 计划 ,及 时 把 用 户 遇 到 的 网 络 、 系 统 和 应 用 的 破坏 恢复 到 正常 状 
态 ,并 且 能 够 消除 产生 风险 和 威胁 的 根源 。 

4. 实施 方案 

实施 方案 包括 项 目 管理 以 及 项 目 质量 保证 。 

1) 项 目 管理 

(1) 项 目 流程 : 详细 写 出 项 目的 实施 流程 ,以 保证 项 目的 顺利 实施 。 

(2) 项 目 管理 制度 : 写 出 项 目的 管理 制度 ,主要 是 保证 项 目 实施 的 质量 ,项 目 管理 主要 
包括 人 的 管理 .产品 的 管理 和 技术 的 管理 。 

(3) 项 目 进度 : 项 目 实施 的 进度 表 作 为 项 目 实施 的 时 间 标 准 , 要 全 面 考虑 完成 项 目 所 
需要 的 物质 条 件 , 计 划 出 一 个 比较 合适 的 时 间 进 度 表 。 

2) 项 目 质 量 保证 

(1) 执行 人 员 的 质量 职责 : 规定 项 目 实施 相关 人 员 的 职责 ,如 项 目 经 理 、 技 术 负责 人 、 
技术 工程 师 、 后 勤 人 员 等 ,以 保证 整个 安全 项 目的 顺利 实施 。 

(2) 项 目 质量 的 保证 措施 : 严格 制定 出 保证 项 目 质量 的 措施 ,主要 的 内 容 涉 及 参与 
项 目的 相关 人 员 、 项 目 中 涉及 的 安全 产品 和 技术 ,用户 派出 支持 该 项 目的 相关 人 员 的 
管理 。 

(3) 项 目 验收 : 根据 项 目的 具体 情况 ,与 用 户 确定 项 目 验收 的 详细 事项 ,包括 安全 产 
品 、 技 术 、 完 成 情况 .达到 的 安全 目的 等 验收 。 

5. 技术 支持 和 服务 承诺 

技术 支持 和 服务 承诺 包括 技术 支持 的 内 容 和 技术 支持 的 方式 。 

1) 技术 支持 的 内 容 

技术 支持 的 内 容 包括 安全 项 目 中 所 包括 的 产品 和 技术 的 服务 ,提供 的 技术 和 服务 包括 
以 下 内 容 。 

(1) 安装 调试 项 目 中 所 涉及 的 全 部 产品 和 技术 。 

(2) 安全 产品 以 及 技术 文档 。 

(3) 提供 安全 产品 和 技术 的 最 新 信息 。 

(4) 服务 期 内 免费 产品 升级 。 

2) 技术 支持 方式 

安全 项 目 完成 以 后 提供 的 技术 支持 服务 ,包括 以 下 4 点 。 

(1) 客户 现场 24 小 时 支持 服务 。 

(2) 客户 支持 中 心 热线 电话 。 

(3) 客户 支持 中 心 E-mail 服务 。 

(4) 客户 支持 中 心 Web 服务 。 


6. 产品 报价 

项 目 所 涉及 全 部 产品 和 服务 的 报价 。 

7. 产品 介绍 i 
常 万 信息 集 团 公司 安全 项 目 中 所 有 涉及 的 产品 介绍 ,主要 是 使 用 户 清楚 所 选择 的 产品 | 章 


网 络 安 会 方 笑 说 计 


网 络 安 会 基础 


是 什么 ,不 用 很 详细 ,但 要 描述 清楚 。 

8. 第 三 方 检测 报告 

由 一 个 第 三 方 的 中 立 机 构 , 对 实施 好 的 网 络 安全 构架 进行 安全 扫描 与 安全 检测 ,并 提供 
相关 的 检测 报告 。 

9. 安全 技术 培训 

1) 管理 人 员 的 安全 培训 

安全 培训 主要 是 针对 公司 非 技术 的 管理 人 员 的 培训 ,提高 他 们 对 安全 的 重视 程度 。 主 
要 应 对 4 个 方面 的 内 容 进行 培训 。 

(1) 网 络 系统 安全 在 企业 信息 系统 中 的 重要 性 。 

(2) 安全 技术 能 够 带 来 的 好 处 。 

(3) 安全 管理 能 够 带 来 的 好 处 。 

(4) 安全 集成 和 网 络 系统 集成 的 区 别 。 

2) 安全 技术 基础 培训 

安全 技术 基础 培训 主要 针对 网 络 系统 管理 员 ,安全 管理 相关 人 员 的 技术 培训 ,使 他 们 能 
够 增强 安全 意识 ,了 解 基本 的 安全 技术 ,能 够 分 辨 出 网 络 、 系 统 和 应 用 中 可 能 存在 的 安全 问 
题 ,并 且 能 够 采用 相关 的 安全 技术 、 产 品 或 服务 来 防范 。 培 训 的 内 容 包 括 7 个 方面 。 

(1) 系统 安全 、 网 络 安全 和 应 用 安全 的 概述 。 

(2) 系统 安全 的 风险 .威胁 和 漏洞 的 详细 分 析 。 

(3) 网 络 安全 的 风险 .威胁 和 漏洞 的 详细 分 析 。 

(4) 应 用 安全 的 风险 威胁 和 漏洞 的 详细 分 析 。 

(5) 安全 防范 措施 的 技术 和 管理 。 

(6) 安全 产品 功能 的 简单 分 类 。 

(7) 黑客 攻击 技术 。 

3) 安全 攻防 技术 培训 

对 网 络 系统 管理 员 进 行 黑客 攻击 的 手段 .原理 和 方法 的 培训 ,使 他 们 能 够 掌握 黑客 攻击 
的 技术 ,并 能 运用 到 实际 的 工作 中 ,有 能 力 来 保护 网 络 、 系 统 和 应 用 的 安全 。 

4) Windows 系统 、UNIX 系统 安全 管理 培训 

这 是 主要 针对 网 络 管理 员 和 系统 管理 员 的 系统 安全 技术 培训 ,详细 介绍 操作 系统 的 安 
全 风险 安全 威胁 和 安全 漏洞 等 ,使 网 络 管理 员 和 系统 管理 员 能 够 独立 配置 安全 系统 ,独立 
维护 操作 系统 的 安全 。 

5) 安全 产品 的 培训 

这 是 主要 针对 安全 项 目 中 所 用 到 的 安全 产品 向 有 关 人 员 提 供 培训 ,培训 的 内 容 一 般 包 
括 以 下 三 个 方面 ,可 以 根据 实际 情况 进行 删 减 。 

(1) 安全 产品 的 原理 ,如 防火 墙 技 术 、 入 侵 检测 技术 等 。 

(2) 各 种 安全 产品 在 安全 项 目 中 的 作用 、 重 要 性 和 局 限 性 。 

(3) 安全 产品 的 使 用 ,维护 和 安全 。 
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10.5 习 题 
一 、 选 择 题 
一 份 好 的 计算 机 网 络 解决 方案 ,不 仅 要 考虑 到 技术 ,还 要 考虑 到 ( 
A. 软件 和 硬件 B. 机 房 和 电源 C. 策略 和 管理 D. 加 密 和 认证 
. 在 进行 计算 机 网 络 安全 设计 规划 时, 不 合理 的 是 ( 》 
A. 只 考虑 安全 的 原则 B. 易 操作 性 原则 
C. 适应 性 .灵活 性 原则 D. 多 重 保护 原则 


. 下 列 关于 网 络 安全 解决 方案 的 描述 ,错误 的 是 ( 外 


A. 一 份 好 的 网 络 安全 解决 方案 ,不 仅 要 考虑 到 技术 ,还 要 考虑 策略 和 管理 
B. 一 个 网 络 的 安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 

C. 良好 的 系统 管理 有 助 于 增强 系统 的 安全 性 

D. 确保 网 络 的 绝对 安全 是 制定 一 个 网 络 安全 解决 方案 的 首要 条 件 


二 、 综 合 题 

某 企 业 的 网 络 安全 设备 配置 拓扑 如 下 图 所 示 。 

(1) 选用 适当 的 网 络 安全 设备 填 人 图 中 四 一 轿 处 ,可 选 网 络 安全 设备 有 : 路 由 器 、 防 火 
墙 、 中 心 交 换 机 、 身 份 认 证 服务 器 。 

(2) 请 为 该 企业 设计 网 络 安全 解决 方案 。 
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